목차
랜섬웨어 감염 경로와 초기 대응 절차
기업 필수 보안 도구 및 설정 방법
정기 백업 전략과 복구 프로세스
직원 교육과 모의 훈련 실시 가이드
감염 발생 시 단계별 대응 체크리스트
국내외 지원 사이트 활용 팁
피해 규모와 실제 사례 분석
랜섬웨어 감염 경로와 초기 대응 절차
랜섬웨어는 피싱 이메일 첨부파일(워드·PDF), 악성 웹 광고, RDP 원격 접속 취약점, 패치 미적용 소프트웨어를 통해 침투합니다.
감염 증상으로는 파일 확장자가 .locked나 .encrypted로 바뀌거나 배경화면에 랜섬 노트가 뜹니다.
기업에서 감염 의심 시 즉시 다음 단계를 밟으세요.
| 단계 | 행동 | 소요 시간 |
|---|---|---|
| 1단계 | 인터넷·네트워크 완전 차단 (LAN 케이블 뽑기, Wi-Fi off) | 1분 이내 |
| 2단계 | 감염 PC 전원 끄기 (하드 셧다운) | 즉시 |
| 3단계 | 관리자에게 보고하고 로그 수집 (이메일·웹 방문 기록) | 5분 이내 |
| 4단계 | KISA(118) 또는 보안 업체 연락 | 10분 이내 |
이 과정에서 네트워크가 분리되지 않으면 서버 전체가 암호화될 수 있어요.
RDP 포트(3389)는 기본 비활성화하고, VPN+2FA로 대체하세요.
기업 필수 보안 도구 및 설정 방법
워너크라이처럼 시스템 취약점을 노리는 공격을 막으려면 EDR(Endpoint Detection and Response)와 백신을 필수로 도입하세요.
카스퍼스키나 ESET 같은 도구는 랜섬웨어 탐지 기능을 내장하고 있습니다.
- OS·애플리케이션 패치: 매주 화요일 마이크로소프트 패치데이 후 24시간 내 적용.
취약점 스캐너(Nessus)로 확인. - EDR 도입: CrowdStrike나 SentinelOne으로 행동 기반 탐지 설정.
관리자 권한 상승 차단 규칙 활성화. - 이메일 게이트웨이: Proofpoint나 Mimecast로 첨부파일 스캔.
피싱 링크 자동 차단. - 방화벽 규칙: RDP·SMB 포트(445) 외부 접근 차단.
PowerShell 실행 제한 (ExecutionPolicy Restricted).
기업 규모에 따라 연간 5천만 원 정도 투자로 이 도구들을 도입할 수 있으며, ROI는 피해 방지로 10배 이상입니다.
워너크라이 취약점 90% 차단.
정기 백업 전략과 복구 프로세스
백업은 랜섬웨어 대응의 핵심입니다.
3-2-1 규칙을 따르세요: 3개 복사본, 2개 다른 매체, 1개 오프라인 보관.
클라우드(AWS S3)와 외장 HDD를 병행하며, 네트워크 연결된 백업은 피하세요.
| 백업 유형 | 주기 | 보관 위치 | 복구 시간 |
|---|---|---|---|
| 전체 시스템 | 매주 일요일 | 오프라인 NAS | 4시간 |
| 중요 파일 | 매일 | 클라우드 + 외장 HDD | 1시간 |
| 데이터베이스 | 매시간 | 에어갭 서버 | 30분 |
복구 시 최신 클린 백업부터 테스트 복원 후 전체 롤아웃.
암호화된 파일은 건드리지 말고 백업으로 대체하세요.
노모어랜섬(NoMoreRansom.org)에서 무료 복호화 툴(예: CryptoLocker 툴)을 다운로드해 시도할 수 있습니다.
직원 교육과 모의 훈련 실시 가이드
인간 실수가 감염 경로의 80%를 차지하니 분기별 교육이 필수예요.
피싱 시뮬레이션 툴(KnowBe4)로 매월 테스트하며, 클릭률 5% 미만 목표로 하세요.
교육 내용:
1. 의심 이메일 식별: 발신자 도메인 확인, 링크 호버링.
2. USB·외부 미디어 스캔 의무화.
3. 모의 훈련: 실제 랜섬웨어 시나리오로 2시간 훈련, 대응 시간 15분 이내 목표.
4. 매뉴얼 배포: 감염 시 핸드북 PDF로 각 데스크톱 배포.
KISA에서 무료 교육 자료를 제공하니 다운로드해 활용하세요.
교육 후 설문으로 효과 측정.
클릭 시 교육 페이지로 리다이렉트.
감염 발생 시 단계별 대응 체크리스트
실제 감염 시 패닉 없이 체크리스트를 따르세요. 법적 의무: 개인정보 유출 시 24시간 내 KISA 개인정보보호포털 신고.
1. 격리: 감염 PC 네트워크 차단하고 분리.
2. 진단: 최신 백신 스캔 (Kaspersky Rescue Disk 부팅 USB 사용).
3. 로그 분석: 이벤트 뷰어에서 프로세스 추적 (rundll32.exe 의심).
4. 복구: 백업 복원 후 시스템 재설치 (Windows PE 환경 추천).
5. 보고: KISA(118) 신고, 경찰청 사이버수사대 접수.
6. 사후 조치: 전체 네트워크 스캔과 패치 재확인.
복구 업체 이용 시 자체 복호화 기술 없음을 유의.
무료 툴만 노모어랜섬에서 제공됩니다.
국내외 지원 사이트 활용 팁
KISA 암호이용활성화 홈페이지에서 랜섬웨어 동향 보고서 다운로드하고, 노모어랜섬 프로젝트의 150종 이상 복호화 툴을 확인하세요.
사이트 접속: nomoreransom.org.
CryptoLocker·케르베르 등 특정 변종에 맞는 툴을 선택해 실행.
한국 기업은 KISA 랜섬웨어 대응팀(전화 118)에 24시간 상담 가능합니다.
피해 규모와 실제 사례 분석
2024-2025년 국내 사례로 병원 시스템 마비(생산 중단 3일, 피해 20억 원), 경찰청 내부망 침투(데이터 유출 위협)가 있었습니다.
이중 협박(암호화+유출)이 60%를 차지하며, 금전 지불 후 재감염 사례도 보고됐어요.
기업은 보험(사이버 리스크 보험, 연 1천만 원 보상 한도 10억 원) 가입을 검토하세요.
지불 후 키 미제공이나 추가 요구 사례가 대부분입니다.
2017년 CryptoLocker 피해자 중 40%가 복구 실패했습니다.
백업으로 대응하세요.
macOS 랜섬웨어(예: KeRanger)와 안드로이드 사례가 증가 중.
모든 기기에 백신 적용 필수입니다.
백업이 암호화되면 무용지물입니다.
오프라인·에어갭 보관과 정기 테스트가 핵심입니다.
노모어랜섬에서 CryptoLocker(2013), 워너크라이(2017) 툴 제공.
감염 직후 시도하세요.
EDR+백업+교육 포함.
피해 1회당 평균 5억 원 절감 효과.
