본문 바로가기
랜섬웨어 보호

랜섬웨어 감염 후 72시간 대응 절차: IT 담당자를 위한 단계별 체크리스트

KDSys 보안팀
2026-07-03

월요일 아침, 출근한 직원들이 하나둘 "파일이 안 열려요"라고 신고합니다. 바탕화면에는 비트코인 지갑 주소가 적힌 랜섬노트가 떠 있고, 공유 폴더의 파일 확장자가 전부 바뀌어 있습니다. 랜섬웨어 감염—IT 담당자라면 한 번쯤 악몽처럼 상상해 본 시나리오일 것입니다. 문제는 이 순간이 실제로 찾아왔을 때, 많은 중소기업이 체계적인 대응 절차 없이 우왕좌왕한다는 점입니다.

보안 전문가들은 랜섬웨어 감염 후 초기 대응 시간이 최종 피해 규모를 결정짓는 핵심 변수라고 입을 모읍니다. 네트워크 격리가 몇 분만 늦어도 감염 범위가 전사로 확산되고, 잘못된 판단 하나로 복구 가능한 데이터마저 영구 손실될 수 있습니다. 한국인터넷진흥원(KISA)에 따르면 랜섬웨어 관련 침해사고 신고는 매년 꾸준히 이어지고 있으며, 특히 별도 보안 인력이 부족한 중소기업이 집중적인 타깃이 되고 있습니다.

이 글에서는 랜섬웨어 감염이 확인된 직후부터 복구 완료, 그리고 재발 방지까지 IT 담당자가 순서대로 실행해야 할 단계별 대응 절차를 체크리스트 형태로 정리합니다. 사고가 발생하기 전에 미리 인쇄해서 서버실 벽에 붙여두시길 권합니다.

1단계: 즉시 격리 — 감염 확산을 멈춰라 (0~30분)

랜섬웨어가 확인된 순간, 가장 먼저 해야 할 일은 감염 단말을 네트워크에서 물리적으로 분리하는 것입니다. 랜섬웨어는 네트워크 공유 폴더, SMB 프로토콜, Active Directory 연결 등을 타고 횡적 이동(Lateral Movement)을 시도합니다. 따라서 LAN 케이블을 뽑고, Wi-Fi를 끄고, VPN 연결을 해제하는 물리적 조치가 소프트웨어적 차단보다 확실합니다.

이 단계에서 절대 하지 말아야 할 행동도 있습니다. 감염된 PC를 즉시 포맷하거나 전원을 끄지 마십시오. 메모리에 남아 있는 암호화 키나 악성코드 흔적이 포렌식 분석과 복호화 시도에 결정적 단서가 될 수 있기 때문입니다. 대신 시스템을 격리된 상태로 유지하면서 화면의 랜섬노트, 감염 파일 확장자, 프로세스 목록 등을 스크린샷으로 기록합니다.

⚠️ 주의사항

랜섬노트에 적힌 공격자 이메일이나 링크에 절대 접속하지 마십시오. 협박금 지불 여부와 무관하게, 접촉 자체가 추가 공격의 빌미가 될 수 있습니다. KISA와 경찰청 사이버수사국 모두 몸값 지불을 권고하지 않습니다.

  1. 감염 PC의 LAN 케이블 즉시 분리 — Wi-Fi, Bluetooth 포함 모든 네트워크 연결 차단
  2. 네트워크 스위치 포트 비활성화 — 감염 의심 구간의 스위치 포트를 관리 콘솔에서 shutdown
  3. 공유 폴더·NAS 접근 차단 — 파일 서버 서비스 일시 중단 또는 방화벽 룰로 SMB(445 포트) 즉시 차단
  4. 랜섬노트·감염 파일 스크린샷 촬영 — 추후 악성코드 분류 및 복호화 도구 탐색에 활용
  5. 감염 시각·범위를 로그에 기록 — 어떤 사용자 계정, 어떤 서버, 몇 시 몇 분에 최초 감지되었는지 타임라인 작성

2단계: 피해 범위 파악 및 신고 (30분~4시간)

초기 격리가 완료되면, 감염이 어디까지 퍼졌는지 피해 범위를 체계적으로 파악해야 합니다. 단순히 "어떤 PC가 감염됐는가"를 넘어서, 공격 경로, 계정 탈취 여부, 데이터 유출 가능성까지 확인해야 합니다. 최근 랜섬웨어 공격은 단순 암호화를 넘어 데이터를 외부로 유출한 뒤 공개 협박을 하는 이중 갈취(Double Extortion) 방식이 주류를 이루고 있기 때문입니다.

동시에 법적 신고 의무를 이행해야 합니다. 한국 「개인정보보호법」 제34조에 따르면, 개인정보가 유출된 경우 지체 없이 정보주체에게 통지하고 개인정보보호위원회 또는 KISA에 신고해야 합니다. 이를 이행하지 않을 경우 과태료 부과 대상이 될 수 있습니다. 랜섬웨어 감염 자체가 곧 개인정보 유출을 의미하지는 않지만, 개인정보가 포함된 시스템이 감염되었다면 유출 가능성을 전제하고 신고 절차를 밟는 것이 안전합니다.

  1. 감염 단말 및 서버 목록 작성 — IP, 호스트명, 담당자, 저장 데이터 유형 정리
  2. Active Directory 로그 분석 — 비정상 로그인, 권한 상승, 원격 실행 기록 확인
  3. 이메일 게이트웨이 로그 확인 — 최초 감염 벡터(피싱 메일 등) 추적
  4. 데이터 유출 여부 확인 — 방화벽·프록시 로그에서 대용량 외부 전송 기록 검토
  5. KISA 침해사고 신고 — 118 전화 또는 boho.or.kr 온라인 신고 (24시간 운영)
  6. 경찰청 사이버수사국 신고 — ecrm.police.go.kr 통한 사이버범죄 신고
  7. 개인정보 유출 통지 검토 — 개인정보가 포함된 DB가 감염 범위에 있다면, 법적 통지 절차 즉시 개시
💡 핵심 포인트

KISA는 랜섬웨어 종류를 분석하고 알려진 복호화 도구가 있는지 확인해주며, No More Ransom(nomoreransom.org) 프로젝트를 통해 무료 복호화 도구를 제공하는 경우도 있습니다. 반드시 랜섬노트와 암호화된 파일 샘플을 확보하여 제출하십시오.

3단계: 복구 — 백업이 있느냐 없느냐가 갈림길 (4시간~72시간)

피해 범위가 파악되면 본격적인 시스템 복구에 돌입합니다. 이 단계에서 가장 중요한 질문은 단 하나입니다: "복구 가능한 정상 백업이 존재하는가?" 이 질문에 대한 답이 Yes인지 No인지에 따라 복구 시간과 비용이 극적으로 달라집니다.

구분정상 백업이 있는 경우백업이 없거나 감염된 경우
복구 방법이미지 기반 전체 복원 또는 파일 단위 복원복호화 도구 탐색 → 실패 시 데이터 영구 손실 가능
예상 소요 시간수 시간~1일 (시스템 규모에 따라 상이)수일~수주 이상, 복구 보장 불가
비용 영향업무 중단 시간 최소화로 비용 통제 가능업무 중단 장기화, 데이터 재생성 비용, 거래처 신뢰 손상
데이터 무결성마지막 백업 시점까지 보장복호화 성공해도 파일 손상 가능성 존재
재감염 위험클린 이미지로 복원 시 낮음 (단, 취약점 패치 필수)기존 시스템 위에서 작업 시 재감염 위험 높음

복구 과정에서 반드시 지켜야 할 원칙이 있습니다. 감염된 시스템 위에 바로 백업을 복원하지 마십시오. 먼저 OS를 완전히 새로 설치(클린 인스톨)하거나 검증된 이미지 기반 복원을 수행한 뒤, 최신 보안 패치를 적용하고 백신 전체 검사를 완료한 상태에서 업무 데이터를 복원해야 합니다. 그렇지 않으면 잔존한 악성코드가 복원된 데이터를 다시 암호화하는 재감염이 발생할 수 있습니다.

이 단계에서 이미지 기반 백업의 가치가 드러납니다. 파일 단위 백업만 있다면 OS 재설치, 드라이버 설치, 애플리케이션 재구성까지 수작업이 필요하지만, 이미지 기반 백업은 운영 체제·설정·데이터를 포함한 시스템 전체를 특정 시점으로 한 번에 되돌릴 수 있습니다. Acronis Cyber Protect가 제공하는 이미지 기반 백업과 복원 기능은 이런 재해 상황에서 복구 시간을 획기적으로 단축해주는 핵심 도구입니다.

실제 시나리오: 백업 전략의 차이가 만든 극적인 결과

같은 업종, 비슷한 규모의 두 중소기업이 동일한 랜섬웨어 변종에 감염되었다고 가정해 봅시다. A기업은 외부 스토리지에 일 1회 이미지 기반 백업을 수행하고 있었고, 네트워크와 분리된 오프사이트 백업 복사본도 유지하고 있었습니다. B기업은 NAS에 공유 폴더 형태로 파일을 복사하는 수준의 백업만 운영하고 있었는데, 이 NAS마저 랜섬웨어에 의해 함께 암호화되었습니다.

A기업은 감염 당일 오후에 격리, 신고를 완료하고 다음 날 이미지 복원으로 핵심 업무 시스템을 정상화했습니다. 반면 B기업은 복구할 백업이 없어 KISA에 복호화 도구를 문의했지만 해당 변종에 대한 도구가 없었고, 결국 수년간 축적된 설계 데이터와 고객 정보를 잃었습니다. 이 시나리오는 가상이지만, 보안 업계에서 반복적으로 관찰되는 전형적인 패턴입니다.

4단계: 재발 방지 — 같은 사고를 두 번 겪지 않기 위해 (복구 후 1~2주)

시스템이 복구되었다고 끝이 아닙니다. 오히려 사고 직후가 보안 체계를 근본적으로 개선할 최적의 타이밍입니다. 경영진의 보안 투자 의지가 가장 높은 시점이기도 하고, 실제 공격 경로가 명확히 드러난 상태이므로 정확한 대책을 세울 수 있기 때문입니다.

  1. 최초 침투 경로 확인 및 차단 — 피싱 메일이었다면 이메일 필터링 강화, RDP 노출이었다면 VPN 뒤로 이동 및 MFA 적용, 취약한 소프트웨어였다면 즉시 패치
  2. 모든 계정 비밀번호 변경 — 관리자 계정, 서비스 계정, AD 계정 포함. 공격자가 크레덴셜을 탈취했을 가능성을 전제
  3. 백업 체계 재점검 — 3-2-1 백업 원칙(3개의 사본, 2가지 미디어, 1개는 오프사이트) 준수 여부 확인. 백업 데이터가 랜섬웨어로부터 보호되는 구조인지 검증
  4. 엔드포인트 보안 솔루션 재평가 — 기존 백신이 탐지하지 못한 이유 분석. AI 기반 행동 탐지, 안티랜섬웨어 전용 기능 갖춘 솔루션 도입 검토
  5. 직원 보안 교육 실시 — 피싱 메일 식별법, 의심 파일 신고 절차, USB 사용 정책 등 실무 중심 교육
  6. 사고 대응 플레이북 문서화 — 이번 사고의 타임라인, 의사결정 과정, 개선점을 문서로 정리하여 차후 즉시 참조 가능하게 보관
💡 핵심 포인트

3-2-1 백업 원칙은 랜섬웨어 시대에 더욱 중요해졌습니다. 특히 "1개의 오프사이트 사본"은 클라우드 백업이나 물리적으로 분리된 외장 스토리지로 구현해야 합니다. 네트워크로 접근 가능한 백업은 랜섬웨어가 함께 암호화할 수 있으므로, 백업과 운영 환경 사이의 에어갭(Air Gap)을 확보하는 것이 핵심입니다.

랜섬웨어 대응 체크리스트 전체 요약

위의 4단계를 한눈에 볼 수 있도록 정리한 체크리스트입니다. 인쇄하여 IT 운영 매뉴얼에 포함하거나, 서버실에 비치해 두시기 바랍니다.

단계시점핵심 액션담당
1단계: 격리0~30분네트워크 분리, 스크린샷 확보, 타임라인 기록IT 담당자
2단계: 파악·신고30분~4시간감염 범위 조사, KISA·경찰 신고, 개인정보 유출 통지 검토IT 담당자 + 경영진
3단계: 복구4시간~72시간클린 OS + 이미지 복원, 보안 패치 적용, 데이터 무결성 확인IT 담당자 (필요 시 외부 전문가)
4단계: 재발 방지복구 후 1~2주침투 경로 차단, 비밀번호 전체 변경, 백업 체계 강화, 보안 교육IT 담당자 + 전 직원
⚠️ 주의사항

이 체크리스트는 일반적인 대응 프레임워크입니다. 실제 사고 상황에서는 감염된 랜섬웨어의 종류, 기업의 IT 환경, 보유 백업 상태에 따라 우선순위와 세부 조치가 달라질 수 있습니다. 사전에 전문 보안 파트너와 함께 자사 환경에 맞는 맞춤형 사고 대응 플레이북을 수립해 두는 것이 가장 효과적입니다.

사전 예방이 최선의 대응: KDSys와 함께 랜섬웨어에 대비하세요

랜섬웨어 감염 후 아무리 완벽하게 대응해도, 업무 중단과 데이터 손실의 충격을 완전히 피할 수는 없습니다. 진정한 최선의 대응은 감염 자체를 막고, 감염되더라도 즉시 복구할 수 있는 체계를 미리 갖추는 것입니다.

Acronis Cyber Protect는 백업과 사이버 보안을 하나의 플랫폼에서 통합 관리할 수 있는 솔루션입니다. AI 기반 행동 탐지로 알려지지 않은 랜섬웨어까지 실시간 차단하고, 이미지 기반 백업으로 감염 직전 상태로 신속한 전체 복원이 가능합니다. 또한 백업 데이터 자체를 랜섬웨어로부터 보호하는 기능을 내장하고 있어, 백업까지 암호화되는 최악의 시나리오를 방지합니다.

KDSys는 Acronis 공식 파트너로서, 단순한 라이선스 판매를 넘어 귀사의 IT 환경 분석, 백업 정책 설계, 사고 대응 플레이북 수립까지 지원합니다. 랜섬웨어 대응 체계를 처음부터 끝까지 함께 구축할 수 있는 파트너가 필요하시다면, 지금 KDSys에 상담을 요청해 주세요. 사고가 터진 뒤 후회하는 것보다, 오늘 30분의 상담이 수천만 원의 피해를 막을 수 있습니다.