이번 포스트에서는 여러분들이 꼭 알아두셔야 할 랜섬웨어 감염시 초기대응 메뉴얼을 알아보고자 합니다. 대략 막연하게는 알고 있더라도 막상 닥치게 되면 허둥대기 마련입니다. 이번 메뉴얼을 잘 참고하시어 꼭 도움이 되셨으면 합니다.

2025년 현재, 이스트시큐리티 데이터에 따르면 일 평균 694건의 랜섬웨어 공격이 차단되고 있으며, 이는 매일 우리 주변에서 벌어지고 있는 현실입니다. 특히 하이트진로가 2025년 1월 1일경 랜섬웨어 공격을 받아 개인정보 유출 가능성을 공지하는 등 국내 기업들의 피해 사례가 지속적으로 발생하고 있어 초기 대응의 중요성이 더욱 커지고 있습니다. 랜섬웨어에 감염되었을 때 초기 30분의 대응이 기업의 피해 규모를 결정하곤 합니다. 체계적이고 신속한 대응을 통해 피해를 최소화할 수 있는 실전 매뉴얼을 함께 살펴보겠습니다.

 

 

1. 랜섬웨어 감염 징후 즉시 파악하기

주요 감염 증상 체크리스트

랜섬웨어 감염을 조기에 발견하는 것이 피해 최소화의 첫걸음입니다. 다음과 같은 증상들이 나타날 수 있습니다:

파일 시스템 이상 징후:

• 주요 시스템 파일이 열리지 않고, 파일들의 확장자가 변경됩니다 (예: .hwp 파일이 .hwp.abc로 변경)
• 문서, 이미지, 동영상 파일이 갑자기 열리지 않음
• CPU, 하드디스크, 메모리 사용량이 급증하고 쿨러가 미친 듯이 회전

시스템 성능 및 접근성 문제:

• 컴퓨터 속도가 급격히 느려짐
• 인터넷 및 이메일 접속에 문제가 발생
• 백신 프로그램에서 악성코드 감염 경고 표시

시각적 변화:

• 몸값을 요구하는 메시지가 나타남
• 바탕화면이 비트코인 입금을 요구하는 화면으로 변경
• 랜섬노트에는 공격자와 협상을 위한 채널(이메일 주소, 다크웹 페이지 URL 등)이나 복호화에 대한 정보(비용, 지불 방법) 등이 기재

 

2. 즉시 실행해야 할 긴급 조치 (0~5분)

2-1. 네트워크 즉시 차단

감염이 의심되는 순간 가장 먼저 해야 할 일은 추가 확산을 막는 것입니다.

물리적 차단:

• 랜선 탈착
• Wi-Fi 연결 해제
• 외장 저장장치 즉시 분리

네트워크 장비를 통한 격리:

• 방화벽: 감염 시스템의 IP 주소 또는 서브넷 차단, ACL을 통해 내/외부 통신되지 않도록 설정
• 스위치: VLAN 설정을 통해 격리, MAC 주소를 기반으로 통신 차단

2-2. 공유 연결 해제

랜섬웨어는 SMB를 통해 내부 공유 폴더로 전파되거나, 연결된 드라이브와 외장 저장 장치로 전파될 수 있습니다. 따라서:

• 네트워크 드라이브 연결 해제
• 파일 및 프린터 공유 해제
• 클라우드 동기화 일시 중단 (OneDrive 동기화 일시 중지하면 잠재적으로 감염된 디바이스에서 클라우드 데이터가 업데이트되지 않도록 보호)

2-3. 전원 차단 여부 신중 판단

실시간으로 파일 암호화가 진행 중인 경우 전원을 차단하면 암호화를 중단시킬 수 있으나 이로 인해 암호화가 중단된 파일이 손상되어 복호화가 불가능해질 위험이 있습니다.

전원 유지 권장 상황:

• 백업이 충분히 있는 경우
• 포렌식 증거 보전이 필요한 경우
• 암호화가 이미 대부분 완료된 것으로 보이는 경우

 

 

3. 피해 범위 파악 및 추가 시스템 보호 (5~15분)

3-1. 감염 범위 조사

내부 시스템의 피해 확산 여부를 확인하기 위해 피해 범위를 식별하는 것은 랜섬웨어 사고 대응의 핵심 단계입니다.

확인해야 할 시스템들:

• 같은 네트워크 내 다른 컴퓨터들
• 서버 시스템 (특히 파일 서버, 데이터베이스 서버)
• 백업 시스템 및 NAS
• 클라우드 연결 시스템

3-2. 중요 시스템 예방적 격리

랜섬웨어에 감염되지 않은 시스템이라 하더라도, 내부적으로 백업 서버나 NAS 서버처럼 중요 데이터를 저장하고 있는 고중요도의 시스템은 초기 대응이 완료되기 전까지 격리하는 것이 필요합니다.

우선 보호 대상:

• 백업 서버
• 중요 데이터베이스 서버
• 도메인 컨트롤러
• 핵심 업무 시스템

 

4. 데이터 보존 및 증거 수집 (10~20분)

4-1. 랜섬노트 보존

공격자와 협상하지 않을 경우 랜섬노트를 삭제해도 되지만, 삭제한 후 협상을 시도하면 복호화가 불가능할 수 있으므로 주의가 필요합니다.

보존해야 할 정보:

• 랜섬노트 전체 내용 스크린샷
• 변경된 파일 확장자 정보
• 감염 시점 기록
• 에러 메시지 및 경고창

4-2. 시스템 상태 기록

수집해야 할 데이터:

• 현재 실행 중인 프로세스 목록
• 네트워크 연결 상태
• 최근 설치된 프로그램 목록
• 시스템 이벤트 로그

 

5. 전문기관 신고 및 대응팀 구성 (15~30분)

5-1. 신고 채널 활용

국내 신고 기관:

• KISA 인터넷보호나라&KrCERT 홈페이지(www.boho.or.kr) → 상담및신고→ 랜섬웨어 감염
• 한국랜섬웨어침해대응센터 (www.rancert.com)
• 경찰청 사이버수사대

5-2. 내부 대응팀 구성

필수 구성원:

• IT 관리자/보안 담당자
• 경영진 (의사결정권자)
• 법무팀 (개인정보보호법 관련)
• 홍보팀 (대외 커뮤니케이션)

 

6. 복구 전략 수립 및 실행

6-1. 백업 데이터 확인

백업 시스템 점검 사항:

• 백업 데이터 무결성 확인
• 백업 시점과 감염 시점 비교
• 온라인 백업이 있는 경우 공격이 포함되었다고 확신할 때까지 네트워크에서 백업 시스템의 연결을 끊는 것이 좋습니다

6-2. 시스템 정리 및 복구

복구 단계:

1. 모든 의심되는 컴퓨터 및 디바이스에서 현재 바이러스 백신 검사를 실행하여 랜섬웨어와 연결된 페이로드를 검색하고 제거
2. 알려진 손상된 사용자 계정의 암호를 재설정하고 새 로그인이 필요
3. 시스템 재설치 또는 백업 복원
4. 보안 패치 적용

 

7. 재발 방지를 위한 보안 강화

7-1. 기술적 보안 조치

패치 관리:

• 운영 체제, 소프트웨어, 펌웨어 등 알려진 취약점이 악용되지 않도록 위험 수준에 따라 적절한 시기에 패치하고 최신 상태로 유지

네트워크 보안:

• 초기 감염된 장치나 동일 조직 내 다른 장치로의 측면 이동을 차단하기 위해 네트워크를 분할
• 신뢰할 수 없거나 출처가 불분명한 트래픽이 내부 시스템의 원격 서비스에 접근하지 못하도록 네트워크 트래픽을 필터링

7-2. 접근 통제 강화

다중 인증 활성화:

• 계정이 탈취되더라도 추가 인증 없이 접근하지 못하도록 다중 인증을 활성화

정기 백업:

• 정기적인 백업을 통해 데이터 복구가 가능하도록 하며 피싱 및 악성 이메일에 대한 교육을 통해 보안 인식을 높일 수 있도록 합니다

7-3. 직원 교육 및 인식 개선

이메일 보안 교육:

• 사용자는 송신자를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람 금지
• 첨부파일의 확장자를 확인하고 문서 아이콘으로 위장한 실행파일(.exe 등)은 클릭 자제

웹 사이트 이용 수칙:

• 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이 다운로드(Drive-by-Download) 기법을 통해 유포되므로 주의 필요

 

8. 결국에는, 예방이 가장 중요!

랜섬웨어 공격은 단순한 기술적 문제를 넘어 기업의 생존을 위협하는 심각한 위협입니다. 무엇보다 중요한 것은 평상시 체계적인 백업 시스템 구축과 직원 교육을 통해 사전에 예방하는 것입니다. 하지만 만약 불행히도 랜섬웨어에 감염되었다면, 이 매뉴얼에 따라 침착하고 신속하게 대응하여 피해를 최소화하시길 추천드립니다.