랜섬웨어 예방 및 대처법

랜섬웨어는 2025년 현재 가장 위협적인 사이버 공격으로 자리잡았습니다. 단순히 데이터를 암호화하는 수준을 넘어 백업 시스템까지 파괴하고, 민감 정보를 유출하여 다중 협박을 가하는 방식으로 진화하고 있습니다. 2025년 상반기 한국인터넷진흥원(KISA)에 접수된 사이버 침해 사고는 1,034건으로 전년 동기 대비 15% 증가했으며, 이 중 상당수가 랜섬웨어 관련 사고입니다. 이 글에서는 2025년 최신 랜섬웨어 동향과 감염 경로, 그리고 효과적인 예방 및 대처 방법을 상세히 안내합니다.

2025년 랜섬웨어 공격 동향

공격 빈도와 피해 규모 증가

2025년 들어 랜섬웨어 공격은 3년 만에 처음으로 다시 증가세를 보이고 있습니다. 전문가들은 이를 역대 가장 지속적인 위협 중 하나로 평가하고 있습니다. 특히 우려되는 점은 B2C 서비스를 겨냥한 공격이 크게 증가하여 일반 소비자들도 직접적인 피해를 입을 위험이 커졌다는 것입니다.

몸값 지불 행태도 변화하고 있습니다. 과거 70%에 달하던 몸값 지불률은 2025년 현재 25%까지 떨어졌습니다. 이는 백업 및 복구 능력이 향상되고 몸값 지불 불가 원칙이 확산된 결과입니다. 하지만 역설적으로 실제 지불되는 평균 몸값은 2023년 40만 달러에서 2025년 200만 달러로 5배나 증가했습니다. 공격자들이 더 큰 조직을 타겟으로 삼고 더 높은 금액을 요구하는 방식으로 전략을 바꾸고 있기 때문입니다.

다중 협박 전략의 고도화

현대 랜섬웨어의 가장 큰 특징은 다중 협박 전략입니다. 1차적으로 데이터를 암호화하여 접근을 차단하고, 2차적으로 암호화 전에 탈취한 민감 정보를 공개하겠다고 협박하는 이중 협박(Double Extortion) 방식이 표준이 되었습니다. 2025년 이중 협박 전략의 성공률은 2024년 대비 30% 증가했습니다.

더 나아가 3중 협박(Triple Extortion)까지 등장했습니다. 피해 조직의 고객이나 파트너에게 직접 연락하여 추가 압박을 가하거나, GDPR 등 규제 위반 사실을 규제 기관에 신고하겠다고 협박하여 벌금 부과를 유도하는 방식입니다. 일부 공격 그룹은 DDoS 공격을 병행하여 피해 조직의 서비스를 마비시키는 4중 협박까지 시도하고 있습니다.

RaaS 플랫폼의 확산

랜섬웨어 서비스(Ransomware as a Service, RaaS) 플랫폼의 활성화로 기술력이 부족한 범죄 조직이나 개인도 쉽게 랜섬웨어 공격에 가담할 수 있게 되었습니다. RaaS는 랜섬웨어 개발자가 공격 도구와 인프라를 제공하고, 실제 공격자(어필리에이트)가 표적을 선정하여 공격을 수행한 뒤 수익을 배분하는 구조입니다.

이러한 모델의 확산으로 2025년 전체 랜섬웨어 공격 건수는 전년 대비 20% 이상 증가한 것으로 추정됩니다. 진입 장벽이 낮아지면서 공격의 다양성도 증가하여 방어가 더욱 어려워지고 있습니다.

주요 감염 경로

피싱 이메일

랜섬웨어의 가장 흔한 감염 경로는 여전히 피싱 이메일입니다. 공격자는 업무 관련 문서나 송장, 배송 알림 등으로 위장한 이메일에 악성 첨부파일이나 링크를 포함시킵니다. 수신자가 첨부파일을 열거나 링크를 클릭하면 악성 매크로가 실행되거나 악성코드가 다운로드됩니다.

2024년 이메일 보안 리포트에 따르면 대부분의 사이버 공격은 이메일로부터 시작됩니다. 공격 패턴은 피싱 이메일을 통한 악성 매크로 실행 → 시스템 권한 상승 → 네트워크 내부 확산 순으로 진행됩니다. 특히 Office 문서의 매크로 기능을 악용한 공격이 여전히 효과적으로 작동하고 있어 주의가 필요합니다.

최근에는 생성형 AI를 활용하여 더욱 그럴듯한 피싱 이메일을 작성하는 사례가 증가하고 있습니다. 문법 오류나 어색한 표현이 줄어들고, 수신자의 직무나 관심사에 맞춘 개인화된 내용을 담아 탐지가 어려워지고 있습니다.

RDP 취약점 악용

원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)은 랜섬웨어 침투의 주요 경로입니다. 많은 기업이 재택근무 지원을 위해 RDP를 개방해 두고 있는데, 약한 비밀번호나 보안 패치가 적용되지 않은 시스템은 무차별 대입 공격(Brute Force Attack)이나 알려진 취약점 공격에 쉽게 노출됩니다.

공격자는 RDP를 통해 시스템에 접근하면 정상적인 관리 작업으로 위장하여 탐지를 회피할 수 있습니다. PsExec, SSH, WinRM 같은 정당한 도구를 사용하기 때문에 EDR 솔루션도 공격을 식별하기 어렵습니다. 실제로 랜섬웨어 공격의 57%에서 이러한 정당한 원격 관리 도구가 사용되는 것으로 확인되었습니다.

국내에서도 RDP 서비스가 인터넷에 개방된 기업 서버나 PC를 통한 Makop, Phobos 등 랜섬웨어 감염 사례가 지속적으로 보고되고 있습니다. 특히 중소기업은 보안 인력과 예산이 부족하여 RDP 보안 설정이 취약한 경우가 많아 주요 타겟이 되고 있습니다.

공급망 공격

소프트웨어 공급망을 통한 랜섬웨어 유포도 증가하고 있습니다. 널리 사용되는 소프트웨어나 업데이트 서버를 침투하여 정상적인 업데이트로 위장한 랜섬웨어를 배포하는 방식입니다. 사용자는 신뢰할 수 있는 출처로부터 업데이트를 받는다고 생각하기 때문에 의심 없이 설치하게 됩니다.

또한 MSP(Managed Service Provider)를 공격하여 그들이 관리하는 다수의 고객사를 동시에 감염시키는 방식도 나타나고 있습니다. 하나의 침투로 수십, 수백 개의 조직을 동시에 공격할 수 있어 공격자 입장에서는 매우 효율적인 방법입니다.

효과적인 예방 전략

KISA 8대 백업 보안 수칙

2025년 7월 한국인터넷진흥원(KISA)은 백업 데이터까지 감염되는 랜섬웨어 사고가 증가하자 ‘8대 백업 및 보안 수칙’을 발표했습니다. 이는 백업 중심의 대응 전략을 강조합니다.

1. 네트워크 분리: 중요 데이터는 반드시 서비스망과 분리된 오프사이트(클라우드, 외부 저장소 또는 오프라인)에 백업해야 합니다. 백업 시스템이 프로덕션 네트워크와 연결되어 있으면 랜섬웨어가 백업까지 암호화할 수 있습니다.

2. 백업 서버 보안: 백업 서버에 백신 또는 EDR(Endpoint Detection and Response)을 설치하여 모니터링 체계를 갖춰야 합니다. 백업 시스템도 공격 대상이 될 수 있으므로 프로덕션 환경과 동일한 수준의 보안이 필요합니다.

3. 정기적인 복구 훈련: 연 1회 이상 복구 훈련을 통해 실제 복원 가능성을 점검해야 합니다. 백업이 존재하더라도 복원 절차가 검증되지 않으면 실제 상황에서 실패할 수 있습니다.

4. 백업 자동화: 일간, 주간, 월간 백업을 자동화하여 실수와 누락을 방지합니다. 수동 백업은 담당자의 실수나 업무 과중으로 누락될 위험이 있습니다.

5. 다중 백업 보관: 3-2-1 규칙을 준수합니다. 데이터의 복사본을 최소 3개 유지하고, 2개의 서로 다른 미디어에 저장하며, 1개는 오프사이트(원격지)에 보관합니다.

6. 이뮤터블(Immutable) 백업: 변경 불가능한 백업을 사용하여 랜섬웨어가 백업 데이터를 암호화하거나 삭제하지 못하도록 합니다. 이뮤터블 백업을 사용하는 조직은 복구 시간이 4배 빠르고 몸값 지불 가능성이 50% 낮습니다.

7. 백업 무결성 검증: 백업이 정상적으로 완료되었는지, 데이터가 손상되지 않았는지 정기적으로 검증합니다. 백업 파일이 있어도 손상되었거나 불완전하면 복원이 불가능합니다.

8. 접근 권한 최소화: 백업 시스템에 대한 접근 권한을 최소한의 인원으로 제한하고, 모든 접근을 로깅하고 모니터링합니다.

EDR 및 XDR 솔루션 도입

엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)은 개별 기기에서 발생하는 의심스러운 활동을 실시간으로 모니터링하고 차단합니다. 전통적인 백신 소프트웨어가 알려진 악성코드의 시그니처를 기반으로 탐지하는 반면, EDR은 행동 분석을 통해 제로데이 공격이나 새로운 랜섬웨어 변종도 탐지할 수 있습니다.

확장 탐지 및 대응(Extended Detection and Response, XDR)은 EDR을 넘어 엔드포인트, 네트워크, 클라우드, 이메일 등 다양한 소스에서 텔레메트리를 수집하고 통합 분석합니다. 랜섬웨어 공격은 여러 단계에 걸쳐 진행되므로 단일 포인트 솔루션으로는 전체 공격 체인을 파악하기 어렵습니다. XDR은 이러한 복잡한 공격 패턴을 상관 분석하여 조기에 탐지할 수 있습니다.

2025년 주요 EDR/XDR 솔루션으로는 CrowdStrike Falcon Insight XDR(AI 기반 탐지와 경량 에이전트), Palo Alto Networks Cortex XDR(종합적인 위협 탐지), Microsoft Defender for Endpoint(Microsoft 생태계 통합), SentinelOne Singularity(자율 엔드포인트 보호) 등이 있습니다.

다만 주의할 점은 2024년 랜섬웨어 공격의 48%에서 EDR/XDR 비활성화 시도가 성공했다는 것입니다. 공격자들도 EDR을 우회하거나 비활성화하는 기술을 발전시키고 있으므로, EDR만으로는 충분하지 않으며 다층 방어가 필요합니다.

제로 트러스트 아키텍처

제로 트러스트(Zero Trust)는 “결코 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”는 원칙에 기반한 보안 모델입니다. 네트워크 내부든 외부든 모든 접근 요청을 의심하고 검증해야 한다는 개념입니다.

EDR/XDR이 “무엇이 나쁜지 정의하고 차단”하는 방식이라면, 제로 트러스트는 “무엇이 좋은지 정의하고 나머지는 모두 차단”하는 방식입니다. 두 접근법은 상호 보완적이며, 함께 사용할 때 랜섬웨어를 포함한 사이버 공격에 대한 가장 강력한 방어를 제공합니다.

제로 트러스트 구현의 핵심 요소는 다음과 같습니다. 첫째, ID 및 접근 관리(IAM)로 모든 사용자와 기기를 식별하고 인증합니다. 둘째, 최소 권한 원칙(Least Privilege)으로 사용자와 애플리케이션에 필요한 최소한의 권한만 부여합니다. 셋째, 마이크로 세그멘테이션(Micro-Segmentation)으로 네트워크를 작은 영역으로 분할하여 측면 이동(Lateral Movement)을 차단합니다. 넷째, 지속적인 모니터링 및 검증으로 모든 활동을 실시간 분석합니다.

다단계 인증(MFA) 필수 적용

다단계 인증(Multi-Factor Authentication, MFA)은 비밀번호 외에 추가 인증 요소를 요구하여 계정 탈취를 방지합니다. 원격접속 서비스(SSL VPN, RDP 등) 및 주요 관리자 계정에 반드시 MFA를 적용해야 합니다.

MFA는 지식 기반(비밀번호, PIN), 소유 기반(스마트폰, 보안 토큰), 생체 기반(지문, 얼굴 인식)의 세 가지 인증 요소 중 둘 이상을 조합합니다. 공격자가 비밀번호를 탈취하더라도 두 번째 요소 없이는 접근할 수 없으므로 RDP를 통한 무차별 대입 공격의 성공률을 크게 낮출 수 있습니다.

SMS 기반 MFA는 SIM 스와핑 공격에 취약하므로, 가능하면 TOTP(Time-based One-Time Password) 앱(Google Authenticator, Microsoft Authenticator 등)이나 FIDO2 하드웨어 키를 사용하는 것이 더 안전합니다.

보안 패치와 취약점 관리

알려진 취약점(CVE)이 공개되면 즉시 보안 패치를 배포하거나 임시 차단 조치를 취해야 합니다. 많은 랜섬웨어 공격은 이미 패치가 존재하는 오래된 취약점을 악용합니다. 공격자는 보안 공지가 발표되면 패치를 적용하지 않은 시스템을 대량으로 스캔하여 표적으로 삼습니다.

취약점 관리는 단순히 패치를 적용하는 것을 넘어 전체 IT 자산을 파악하고, 각 자산의 취약점을 식별하며, 위험도에 따라 우선순위를 정하여 대응하는 체계적인 프로세스입니다. 자동화된 취약점 스캐닝 도구와 패치 관리 시스템을 활용하면 효율성을 높일 수 있습니다.

특히 인터넷에 노출된 서비스(웹 서버, VPN, RDP 등)는 공격 대상이 되기 쉬우므로 최우선으로 패치를 적용해야 합니다. 가능하다면 불필요한 서비스는 인터넷 노출을 차단하고 내부 네트워크로만 접근 가능하도록 제한하는 것이 좋습니다.

직원 보안 교육

기술적 방어 수단이 아무리 뛰어나도 사람의 실수로 인한 침해는 막기 어렵습니다. 정기적인 보안 인식 교육을 통해 직원들이 피싱 이메일을 식별하고, 의심스러운 링크나 첨부파일을 클릭하지 않으며, 강력한 비밀번호를 사용하도록 훈련해야 합니다.

실제 공격 시나리오를 모방한 피싱 시뮬레이션 훈련도 효과적입니다. 정기적으로 모의 피싱 이메일을 발송하여 직원들의 반응을 측정하고, 클릭한 직원에게는 추가 교육을 제공하는 방식으로 보안 인식 수준을 지속적으로 향상시킬 수 있습니다.

또한 보안 사고 신고 절차를 명확히 하고 신고 문화를 조성해야 합니다. 직원이 의심스러운 이메일을 받거나 실수로 악성 링크를 클릭했을 때 두려워하지 않고 즉시 보안팀에 신고할 수 있어야 초기 대응이 가능합니다.

랜섬웨어 감염 시 대응 절차

1단계: 즉시 격리

랜섬웨어 감염이 의심되거나 확인되면 즉시 해당 시스템의 네트워크 연결을 차단해야 합니다. 이더넷 케이블을 뽑거나 Wi-Fi를 비활성화하여 랜섬웨어가 네트워크를 통해 다른 시스템으로 확산되는 것을 방지합니다.

동시에 감염된 시스템과 동일한 네트워크에 있는 다른 시스템도 즉시 점검합니다. 랜섬웨어는 측면 이동 기법을 사용하여 네트워크 내 여러 시스템을 동시에 감염시킬 수 있습니다. 의심스러운 프로세스나 파일 암호화 징후가 보이면 해당 시스템도 격리합니다.

2단계: 전문가 및 당국 통보

감염을 확인한 즉시 사내 보안팀, 외부 보안 전문가, 그리고 필요한 경우 법 집행 기관에 통보합니다. 한국랜섬웨어침해대응센터(KRCERT)나 한국인터넷진흥원(KISA)에 신고하여 전문적인 지원을 받을 수 있습니다.

많은 조직이 평판 손상을 우려하여 신고를 꺼리지만, 조기에 전문가의 도움을 받으면 피해를 최소화하고 복구 가능성을 높일 수 있습니다. 또한 금융 거래 정보나 개인정보가 유출된 경우 관련 규정에 따라 규제 기관과 영향받는 개인에게 통지해야 할 법적 의무가 있을 수 있습니다.

3단계: 랜섬웨어 변종 식별

감염된 랜섬웨어의 정확한 변종을 식별하면 복호화 도구의 존재 여부를 확인하거나 적절한 대응 전략을 수립할 수 있습니다. 암호화된 파일의 확장자, 몸값 요구 메시지의 내용, 연락처 정보 등을 통해 랜섬웨어 종류를 파악할 수 있습니다.

No More Ransom 프로젝트나 한국랜섬웨어침해대응센터 웹사이트에서 일부 랜섬웨어 변종에 대한 무료 복호화 도구를 제공하고 있습니다. 운이 좋다면 복호화 도구가 존재하여 몸값을 지불하지 않고도 파일을 복구할 수 있습니다.

4단계: 백업으로부터 복구

백업이 안전하게 보관되어 있고 랜섬웨어에 감염되지 않았다면 백업으로부터 시스템과 데이터를 복원합니다. 다만 복원 전에 반드시 백업 파일을 백신으로 검사하여 악성코드가 포함되어 있지 않은지 확인해야 합니다.

가능하다면 가상 환경에서 먼저 테스트 복원을 수행하여 백업이 정상적으로 작동하는지, 데이터가 완전한지 검증합니다. 검증 없이 바로 프로덕션 환경에 복원하면 문제가 발생했을 때 추가 피해가 발생할 수 있습니다.

백업이 손상되었거나 오래되어 최근 데이터가 포함되지 않았다면 데이터 손실을 감수하고 가능한 범위 내에서 복구를 진행해야 합니다. 이뮤터블 백업과 오프사이트 백업을 유지하는 조직은 복구 성공률이 훨씬 높습니다. 실제로 손상되지 않은 백업을 가진 조직의 46%는 1주일 이내에 복구하는 반면, 백업이 손상된 경우는 25%만이 같은 기간 내에 복구합니다.

5단계: 시스템 재구축

랜섬웨어를 완전히 제거하려면 감염된 시스템을 완전히 초기화하고 재설치하는 것이 가장 확실합니다. 단순히 랜섬웨어 파일만 삭제하면 백도어나 루트킷 같은 잔여 악성코드가 남아 있을 수 있습니다.

운영체제와 모든 소프트웨어를 최신 버전으로 재설치하고, 보안 패치를 모두 적용한 뒤에야 네트워크에 다시 연결합니다. 재감염을 방지하기 위해 초기 침투 경로를 파악하고 해당 취약점을 완전히 제거해야 합니다.

6단계: 사후 분석 및 개선

사고가 수습된 후에는 반드시 사후 분석(Post-Incident Review)을 수행합니다. 어떻게 침투가 발생했는지, 왜 탐지하지 못했는지, 어떤 방어 수단이 실패했는지 분석하여 재발 방지 대책을 수립합니다.

분석 결과를 바탕으로 보안 정책, 기술적 통제, 직원 교육 프로그램을 개선합니다. 백업 및 복구 절차에서 발견된 문제점도 수정하여 다음 사고 시 더 빠르고 효과적으로 대응할 수 있도록 준비합니다.

몸값 지불 여부 판단

지불 불가 원칙

대부분의 보안 전문가와 법 집행 기관은 랜섬웨어 몸값을 지불하지 말 것을 권고합니다. 몸값을 지불하더라도 복호화 키를 받지 못하거나 불완전한 복호화로 데이터가 손상될 수 있습니다. 또한 지불은 범죄 행위를 재정적으로 지원하여 더 많은 공격을 부추기는 결과를 낳습니다.

실제로 몸값을 지불한 조직 중 일부는 같은 공격 그룹으로부터 반복적으로 공격을 받았습니다. 공격자는 지불 의사가 있는 조직을 좋은 타겟으로 간주하여 재공격하는 경향이 있습니다.

예외적인 상황

그럼에도 불구하고 일부 조직은 몸금 지불을 고려할 수 밖에 없는 상황에 직면합니다. 백업이 없거나 손상되어 데이터 복구가 불가능하고, 해당 데이터가 사업 운영에 필수적이며, 데이터 손실로 인한 피해가 몸값보다 훨씬 크다면 지불을 검토할 수 있습니다.

다만 이 경우에도 법률 고문, 보안 전문가, 랜섬웨어 협상 전문가와 상의하여 신중하게 결정해야 합니다. 일부 국가에서는 특정 제재 대상 그룹에 몸값을 지불하는 것이 불법일 수 있으므로 법적 위험도 고려해야 합니다.

마치며

랜섬웨어는 2025년 현재 가장 위협적인 사이버 공격으로, 다중 협박 전략과 RaaS 플랫폼 확산으로 더욱 고도화되고 있습니다. 피싱 이메일과 RDP 취약점이 주요 감염 경로이며, 최근에는 백업 시스템까지 파괴하는 공격이 증가하고 있습니다.

효과적인 방어를 위해서는 KISA 8대 백업 보안 수칙을 준수하고, 이뮤터블 백업과 오프사이트 백업을 유지하며, EDR/XDR과 제로 트러스트 아키텍처를 구현해야 합니다. MFA 적용, 정기적인 보안 패치, 그리고 직원 교육도 필수적입니다.

만약 감염이 발생하면 즉시 격리하고 전문가의 도움을 받으며, 백업으로부터 복구하고 시스템을 재구축해야 합니다. 몸값 지불은 최후의 수단으로만 고려하며, 사후 분석을 통해 재발을 방지하는 것이 중요합니다.

IT 보안의 전반적인 내용을 더 알아보고 싶다면 다음 글을 참고하세요.

FAQ