본문 바로가기
랜섬웨어 보호

이중 갈취(Double Extortion) 랜섬웨어 완전 해부: 공격 흐름 5단계와 Acronis 능동 방어 전략

KDSys 보안팀
2026-06-12

"백업이 있으니까 랜섬웨어에 걸려도 복구하면 되지 않나요?" 불과 몇 년 전까지만 해도 이 말이 틀리지 않았습니다. 그러나 오늘날의 이중 갈취(Double Extortion) 랜섬웨어는 게임의 규칙을 완전히 바꿔버렸습니다. 공격자는 파일을 암호화하기 전에 먼저 핵심 데이터를 외부로 빼돌리고, "몸값을 지불하지 않으면 훔친 데이터를 다크웹에 공개하겠다"고 이중으로 협박합니다.

이 전략은 백업으로 시스템을 복구하더라도 데이터 유출이라는 두 번째 칼날을 피할 수 없게 만듭니다. 한국의 개인정보보호법에 따르면 개인정보가 유출된 기업은 지체 없이 정보주체에게 통지해야 하고, 과실이 인정되면 과징금과 손해배상 책임까지 져야 합니다. 중소기업 입장에서는 금전적 피해뿐 아니라 고객 신뢰를 한순간에 잃을 수 있는, 사실상 사업 존속을 위협하는 공격 유형입니다.

이 글에서는 이중 갈취 랜섬웨어의 공격 흐름 5단계를 구체적으로 해부하고, 각 단계에서 Acronis의 능동 방어 기능이 어떻게 위협을 차단하는지 실전 관점에서 살펴봅니다.

이중 갈취 랜섬웨어란? 기존 랜섬웨어와 무엇이 다른가

전통적인 랜섬웨어는 단순했습니다. 침투 → 파일 암호화 → 복호화 키 대가로 금전 요구. 이 모델에서는 안정적인 백업만 있으면 몸값을 지불하지 않고도 업무를 복구할 수 있었습니다. 그러나 공격자들은 피해 기업이 백업으로 복구해버리면 수익이 사라진다는 사실을 학습했고, 이에 대응해 "유출 + 암호화"라는 이중 갈취 모델을 개발했습니다.

이중 갈취 공격에서는 암호화 실행 전 수일에서 수주에 걸쳐 내부 네트워크를 탐색하고, 고객 DB·계약서·재무 자료·지적재산 등 민감 데이터를 공격자의 서버로 사전에 유출합니다. 이후 암호화를 실행하면서 "몸값을 내지 않으면 데이터를 공개한다"고 협박합니다. 백업이 있어도, 유출된 데이터 때문에 기업은 궁지에 몰리게 됩니다. 최근에는 여기에 DDoS 공격이나 피해 기업의 고객·파트너에게 직접 연락하는 삼중·사중 갈취 전술까지 등장하고 있습니다.

⚠️ 주의사항

이중 갈취 공격에서는 백업 복구가 문제의 절반만 해결합니다. 유출된 개인정보로 인해 개인정보보호법 위반 통지 의무, 과징금, 집단 소송 등 법적 리스크가 별도로 발생합니다. 백업 전략과 함께 반드시 데이터 유출 방지(DLP) 관점의 방어가 필요합니다.

이중 갈취 랜섬웨어 공격 흐름 5단계 분석

이중 갈취 공격은 즉흥적이지 않습니다. 공격자는 체계적인 절차를 따르며, 각 단계를 이해해야 효과적인 방어 포인트를 설정할 수 있습니다.

  1. 1단계: 초기 침투 (Initial Access)
    가장 흔한 침투 경로는 피싱 이메일입니다. 견적서, 세금계산서, 택배 알림 등을 위장한 첨부파일이나 악성 링크가 사용됩니다. 이 외에도 RDP(원격 데스크톱) 포트가 외부에 노출된 경우 무차별 대입 공격(Brute Force)으로 침투하거나, 패치되지 않은 VPN 장비·웹 서버의 알려진 취약점을 악용하는 경우도 매우 빈번합니다.
  2. 2단계: 내부 거점 확보 및 권한 상승 (Persistence & Privilege Escalation)
    초기 침투 후 공격자는 백도어를 설치하고, 보안 솔루션을 무력화하며, 관리자 계정 탈취를 시도합니다. Active Directory 환경에서는 도메인 관리자 권한을 장악하는 것이 핵심 목표입니다. 이 단계에서 수일~수주간 탐지되지 않고 잠복하는 경우가 많습니다.
  3. 3단계: 내부 정찰 및 데이터 유출 (Discovery & Exfiltration)
    공격자는 파일 서버, DB 서버, 공유 폴더 등을 탐색하며 가치 높은 데이터를 식별합니다. 이후 클라우드 스토리지, FTP, 또는 암호화된 터널을 통해 대량의 데이터를 외부로 전송합니다. 이 과정은 정상적인 네트워크 트래픽처럼 위장되어 탐지가 매우 어렵습니다.
  4. 4단계: 암호화 실행 (Encryption Deployment)
    데이터 유출이 완료되면 공격자는 최대 피해를 위해 백업 파일과 볼륨 섀도 복사본(VSS)을 먼저 삭제한 뒤, 전체 시스템에 걸쳐 동시다발적으로 암호화를 실행합니다. 주로 야간이나 주말 등 모니터링이 약한 시간대를 선택합니다.
  5. 5단계: 이중 협박 (Double Extortion)
    암호화 완료 후 랜섬노트를 표시하면서, 동시에 "지정된 기한 내에 몸값을 지불하지 않으면 유출한 데이터를 다크웹 리크 사이트에 공개한다"고 협박합니다. 일부 공격 그룹은 유출 데이터의 샘플을 먼저 공개해 압박 수위를 높이기도 합니다.
💡 핵심 포인트

공격자가 내부에 머무는 시간(Dwell Time)이 길수록 피해 규모가 커집니다. 이중 갈취 공격의 핵심은 3단계(데이터 유출)에 있으므로, 암호화 전에 비정상 데이터 이동을 탐지하는 것이 가장 중요한 방어 전략입니다.

Acronis 능동 방어 기능: 각 공격 단계를 차단하는 방법

Acronis Cyber Protect는 백업·안티멀웨어·EDR 기능을 단일 에이전트로 통합한 솔루션으로, 이중 갈취 랜섬웨어의 각 단계에 대응할 수 있는 다층 방어 체계를 제공합니다. 아래에서 공격 단계별로 Acronis의 주요 방어 기능을 매핑합니다.

공격 단계 공격자 행위 Acronis 대응 기능 방어 효과
1단계: 초기 침투 피싱 메일, 악성 URL, 취약점 악용 URL 필터링, 이메일 보안, 취약점 평가 및 패치 관리 악성 링크·첨부파일 사전 차단, 알려진 취약점 자동 패치로 공격 표면 축소
2단계: 거점 확보·권한 상승 백도어 설치, 보안 솔루션 무력화 AI 기반 행동 탐지(Behavioral Detection), 자체 보호(Self-Protection) 기능 서명 기반이 아닌 행동 패턴 분석으로 제로데이·신종 악성코드 탐지, Acronis 에이전트 자체를 무력화하려는 시도 차단
3단계: 데이터 유출 대량 데이터 외부 전송 DLP(Data Loss Prevention) 정책, 네트워크 이상 행위 모니터링 민감 데이터의 비정상적 외부 전송 탐지 및 차단
4단계: 암호화 실행 VSS 삭제, 파일 대량 암호화 Acronis Active Protection(능동 방어), 백업 파일 변조 방지 파일 암호화 행위 실시간 탐지 → 프로세스 즉시 차단 → 손상된 파일 자동 복원, 백업 데이터를 랜섬웨어로부터 보호
5단계: 이중 협박 몸값 요구 + 유출 위협 불변(Immutable) 백업 스토리지, 신속한 전체 시스템 복구 암호화 피해 시 검증된 백업으로 빠른 복구, 앞 단계 방어로 데이터 유출 자체를 사전 차단

특히 Acronis Active Protection은 Acronis의 핵심 능동 방어 기술입니다. 이 기능은 시스템에서 실행되는 프로세스의 행동을 실시간으로 모니터링하여, 대량의 파일을 빠른 속도로 수정(암호화)하는 랜섬웨어 특유의 패턴을 탐지합니다. 의심스러운 행위가 감지되면 해당 프로세스를 즉시 중단하고, 이미 손상된 파일이 있다면 로컬 캐시에서 자동으로 원본을 복원합니다. 이 모든 과정이 사용자 개입 없이 자동으로 이루어지기 때문에, IT 전담 인력이 부족한 중소기업 환경에서 특히 실용적입니다.

"백업만 하면 된다"는 착각이 위험한 이유

이중 갈취 시대에 백업 전용 솔루션만으로는 절대 충분하지 않습니다. 그 이유를 명확히 이해해야 합니다.

  • 백업 파일 자체가 공격 대상: 숙련된 공격자는 암호화를 실행하기 전에 네트워크에 연결된 백업 서버를 찾아 백업 파일을 먼저 삭제하거나 암호화합니다. 백업이 존재하지만 복구에 사용할 수 없는 상황이 발생합니다.
  • 데이터 유출은 백업으로 해결 불가: 백업은 시스템을 "이전 상태로 되돌리는" 도구이지, 이미 외부로 빠져나간 데이터를 회수하는 기능이 아닙니다. 개인정보보호법상 유출 사실만으로도 신고 의무와 과징금 대상이 됩니다.
  • 복구 시간(RTO) 문제: 단순 파일 백업만으로는 운영체제, 애플리케이션, 설정까지 모두 재구축해야 해서 복구에 수일이 걸릴 수 있습니다. 이미지 기반 백업과 베어메탈 복구 기능이 있어야 업무 중단 시간을 최소화할 수 있습니다.

이러한 이유로 현대의 랜섬웨어 방어 전략은 "보호(Protect) + 탐지(Detect) + 대응(Respond) + 복구(Recover)"의 전 주기를 아우르는 통합 접근이 필수입니다. Acronis Cyber Protect가 백업과 보안을 하나의 플랫폼에 통합한 것은 이러한 현실적 필요에 대한 답입니다.

시나리오: 제조업 중소기업에서 벌어질 수 있는 이중 갈취 공격

직원 50명 규모의 제조업체를 가정해봅니다. 경리 담당자가 거래처를 사칭한 이메일의 "수정된 세금계산서.xlsx" 파일을 열었습니다. 이 파일에는 매크로 기반 악성코드가 포함되어 있었고, 실행과 동시에 공격자의 원격 제어 서버와 연결이 수립됩니다. 공격자는 약 2주간 내부 네트워크를 탐색하며 관리자 계정 비밀번호를 탈취하고, 파일 서버에 저장된 거래처 계약서, 직원 급여 명세서, 고객사 설계 도면 등 핵심 자료를 외부 클라우드로 몰래 전송합니다. 주말 새벽, 공격자는 NAS 백업 볼륨을 삭제한 뒤 전체 서버와 PC 30대에 암호화를 실행합니다. 월요일 출근한 직원들은 "YOUR FILES ARE ENCRYPTED" 메시지와 함께, "48시간 내 3억 원을 지불하지 않으면 설계 도면과 직원 개인정보를 공개하겠다"는 협박문을 확인합니다. 백업도 암호화되어 복구가 불가능하고, 설사 백업에서 복구하더라도 이미 유출된 개인정보 문제는 남아있습니다.

만약 Acronis Cyber Protect가 적용되어 있었다면? 이메일 보안 기능이 악성 첨부파일을 사전 차단했을 것이고, 설령 침투에 성공했더라도 행동 기반 탐지가 비정상적인 내부 탐색 활동을 경고했을 것입니다. Active Protection이 암호화 시도를 실시간 차단하고, 불변 백업 저장소 덕분에 백업 파일은 안전하게 보존되어 신속한 복구가 가능했을 것입니다.

중소기업을 위한 이중 갈취 랜섬웨어 방어 체크리스트

아래 체크리스트는 이중 갈취 랜섬웨어에 대비하기 위해 오늘 당장 점검하고 실행할 수 있는 항목들입니다.

  1. 3-2-1 백업 원칙 준수 확인: 데이터 사본 3개, 2가지 이상의 저장 매체, 1개는 오프사이트(또는 클라우드) 보관. 특히 최소 1개의 백업은 네트워크에서 분리(에어갭)되거나 불변(Immutable) 스토리지에 보관되어야 합니다.
  2. 백업 복구 테스트 정기 실시: 백업이 존재하는 것과 실제로 복구가 되는 것은 다릅니다. 분기별 최소 1회 이상 전체 시스템 복구 테스트를 수행하고, 복구 소요 시간(RTO)을 측정하세요.
  3. 이메일 보안 강화: 전체 사이버 공격의 가장 큰 비중을 차지하는 경로가 이메일입니다. 첨부파일 필터링, URL 샌드박싱, SPF/DKIM/DMARC 설정을 반드시 적용하세요.
  4. RDP·VPN 접근 통제: RDP 포트(3389)의 외부 직접 노출을 차단하고, VPN 접속에는 반드시 다중 인증(MFA)을 적용하세요. VPN 장비의 펌웨어를 항상 최신으로 유지하는 것도 필수입니다.
  5. 패치 관리 자동화: 운영체제와 주요 소프트웨어의 보안 패치를 가능한 빨리 적용하세요. Acronis의 패치 관리 기능을 활용하면 중앙에서 일괄 관리가 가능합니다.
  6. 네트워크 세그멘테이션: 전 시스템이 하나의 플랫 네트워크에 있으면 1대 감염이 전체 감염으로 이어집니다. 업무 영역별로 네트워크를 분리하고 방화벽 정책을 적용하세요.
  7. 직원 보안 인식 교육: 기술적 방어 못지않게 사람의 판단력이 중요합니다. 피싱 메일 모의 훈련을 포함한 정기 교육을 실시하세요.
  8. 사고 대응 계획(Incident Response Plan) 수립: 랜섬웨어 감염 시 누가 무엇을 할 것인지 사전에 정의해두세요. 법적 통지 의무, 외부 보안 업체 연락처, 의사결정 체계 등을 문서화해야 합니다.
💡 핵심 포인트

위 체크리스트의 상당 부분(백업, 패치 관리, 이메일 보안, 능동 방어)은 Acronis Cyber Protect 단일 솔루션으로 통합 관리할 수 있습니다. 여러 솔루션을 따로 운영하는 복잡성과 비용을 줄이면서 방어 수준을 높일 수 있는 것이 통합 플랫폼의 핵심 이점입니다.

기존 방어 방식 vs. Acronis 통합 방어 비교

비교 항목 기존 방식 (개별 솔루션 조합) Acronis Cyber Protect (통합 방어)
백업 별도 백업 소프트웨어 운영 이미지 기반 백업 + 불변 스토리지 내장
안티멀웨어 별도 AV/EDR 제품 구매·관리 AI 기반 행동 탐지 + 서명 기반 탐지 통합
랜섬웨어 전용 방어 AV에 의존 (전용 기능 부재 가능) Active Protection으로 암호화 행위 실시간 차단 + 자동 복원
패치 관리 수동 또는 별도 도구 사용 중앙 콘솔에서 OS·소프트웨어 패치 자동 배포
관리 복잡성 여러 콘솔, 여러 에이전트 → 관리 부담 높음 단일 에이전트, 단일 콘솔 → 관리 부담 최소화
비용 구조 솔루션별 개별 라이선스 비용 누적 통합 라이선스로 총 소유 비용(TCO) 절감
중소기업 적합성 전담 보안팀 필요, 운영 전문성 요구 IT 담당 1~2명으로도 운영 가능한 직관적 인터페이스

마무리: 이중 갈취 시대, 통합 방어만이 답입니다

이중 갈취 랜섬웨어는 "백업이면 충분하다"는 과거의 상식을 완전히 무너뜨렸습니다. 데이터를 인질로 잡는 것을 넘어, 데이터를 유출하고 공개 위협까지 하는 이 공격에 대응하려면 침투 차단 → 행동 탐지 → 유출 방지 → 암호화 차단 → 신속 복구의 전 단계를 아우르는 통합 방어 체계가 필수입니다.

Acronis Cyber Protect는 이 모든 방어 레이어를 하나의 에이전트, 하나의 관리 콘솔로 제공합니다. 그리고 KDSys는 Acronis 공인 파트너로서 한국 중소기업 환경에 최적화된 도입 컨설팅, 초기 구축, 운영 지원, 장애 대응을 제공합니다.

  • 현재 우리 회사의 랜섬웨어 대응 수준이 궁금하시다면
  • 백업은 하고 있지만 데이터 유출 방어가 걱정되신다면
  • 여러 보안 솔루션 관리에 지쳐 통합 솔루션을 찾고 계시다면

지금 KDSys에 무료 보안 진단을 요청하세요. 귀사의 현재 환경을 분석하고, 이중 갈취 랜섬웨어에 대비한 맞춤형 Acronis 도입 방안을 제안해 드립니다. 공격자가 준비를 마치기 전에, 방어자도 준비를 완료해야 합니다.