랜섬웨어 피해 현황과 PC 방어의 중요성
2025년 1분기 랜섬웨어 피해 건수가 2,575건을 기록하며 전년 동기 대비 122% 급증했습니다. 특히 중소기업 사이버 침해사고의 94%가 랜섬웨어 공격에 집중되면서, 개인 PC 보안 설정의 중요성이 더욱 강조되고 있습니다. 악성코드 감염 사례 중 71% 이상이 랜섬웨어로 나타나는 상황에서, PC 단위의 방어 체계 구축은 선택이 아닌 필수가 되었습니다.
최근 랜섬웨어 공격 수법은 단순 암호화에서 벗어나 민감정보 유출 후 다크웹에 게시하겠다는 이중 협박으로 진화했습니다. 서비스형 랜섬웨어(RaaS) 확산으로 숙련도가 낮은 해커도 쉽게 공격을 시도할 수 있게 되면서, 모든 PC 사용자가 잠재적 공격 대상이 되고 있습니다. 이에 따라 운영체제 자체 보안 기능과 백신 프로그램의 Anti-Ransomware 기능을 적극 활용한 다층 방어가 필요합니다.
랜섬웨어에 대한 전반적인 이해와 기본 대처법은 별도 가이드에서 자세히 다루고 있습니다.
Windows Defender 제어된 폴더 액세스 설정
Windows 10 이상 버전에 기본 탑재된 제어된 폴더 액세스(Controlled Folder Access) 기능은 랜섬웨어가 중요 폴더의 파일을 암호화하는 것을 실시간으로 차단합니다. 설정 방법은 Windows 보안 앱을 열고 바이러스 및 위협 방지 메뉴로 이동한 뒤, 랜섬웨어 방지 섹션에서 제어된 폴더 액세스를 켜기로 전환하면 됩니다. 기본적으로 문서, 사진, 동영상, 바탕 화면 등 주요 폴더가 자동 보호되며, 필요 시 보호된 폴더 추가 메뉴에서 사용자 지정 폴더를 등록할 수 있습니다.
신뢰할 수 있는 프로그램이 보호된 폴더에 접근하지 못하는 문제가 발생하면, 제어된 폴더 액세스를 통해 앱 허용 메뉴에서 해당 프로그램을 예외 목록에 추가해야 합니다. 예를 들어 포토샵이나 오피스 프로그램이 차단되는 경우, 프로그램 실행 파일(.exe)을 찾아 허용 목록에 등록하면 정상적으로 파일 편집이 가능합니다. 다만 출처가 불분명한 프로그램을 무분별하게 허용하면 보안 취약점이 생기므로, 공식 홈페이지에서 다운로드한 정품 소프트웨어만 예외 처리해야 합니다.
제어된 폴더 액세스는 기본 제공 기능이지만, 실시간 모니터링으로 시스템 리소스를 일부 소모합니다. SSD 탑재 PC에서는 성능 영향이 거의 없으나, HDD 기반 구형 PC에서는 파일 저장 시 약간의 지연이 발생할 수 있습니다. 그러나 랜섬웨어 암호화 차단 효과를 고려하면 성능 저하보다 보안 이점이 월등히 크므로, 모든 Windows PC에서 활성화를 권장합니다.
Anti-Ransomware 기능 탑재 백신 선택
시중 백신 프로그램 중 랜섬웨어 전용 방어 기능을 제공하는 제품은 행위 기반 탐지(Behavior Detection)와 보호 폴더 설정 기능을 모두 갖춘 솔루션입니다. Bitdefender, Kaspersky, Norton 360 등은 알려지지 않은 신종 랜섬웨어도 파일 암호화 시도 패턴을 분석해 실시간 차단하며, 안랩 V3도 국내 랜섬웨어 변종에 특화된 탐지 엔진을 제공합니다. 무료 백신 중에서는 Avast Free Antivirus가 기본 랜섬웨어 보호 기능을 포함하고 있으나, 유료 버전 대비 탐지 속도와 복구 기능에서 차이가 있습니다.
백신 설치 후에는 랜섬웨어 방어 기능이 기본 활성화되어 있는지 반드시 확인해야 합니다. 대부분의 제품은 설정 메뉴에서 ‘랜섬웨어 보호’ 또는 ‘Anti-Ransomware’ 항목을 별도로 제공하며, 여기서 보호할 폴더 추가와 의심스러운 행위 차단 레벨을 조정할 수 있습니다. 일부 사용자는 오탐(False Positive)을 우려해 보호 레벨을 낮추는데, 최근 랜섬웨어 공격 증가 추세를 감안하면 최대 레벨로 설정하고 정상 프로그램만 화이트리스트에 등록하는 방식이 안전합니다.
| 백신 구분 | Anti-Ransomware 기능 | 행위 탐지 | 폴더 보호 | 무료 제공 여부 |
|---|---|---|---|---|
| Bitdefender | Ransomware Remediation | O | O | 유료 전용 |
| Kaspersky | System Watcher | O | O | 유료 전용 |
| Norton 360 | SONAR 기술 | O | O | 유료 전용 |
| 안랩 V3 | 랜섬웨어 차단 | O | O | 일부 무료 |
| Avast Free | Ransomware Shield | △ | O | 무료 |
백신 프로그램의 정의 파일(시그니처)은 최소 하루 1회 자동 업데이트되도록 설정해야 합니다. 신종 랜섬웨어는 매일 수십 개씩 변종이 등장하므로, 실시간 업데이트가 비활성화되어 있으면 최신 위협에 무방비로 노출됩니다. 특히 중소기업 PC는 보안 담당자가 따로 없는 경우가 많아, 사용자 개인이 백신 설정을 점검하고 정기적으로 전체 검사를 실행해야 합니다.
네트워크 격리와 감염 초기 대응
랜섬웨어 감염이 의심되는 순간 가장 먼저 취할 조치는 네트워크 케이블 분리 또는 Wi-Fi 비활성화입니다. 최신 랜섬웨어는 네트워크를 통해 같은 네트워크의 다른 PC나 공유 폴더까지 감염시키는 웜(Worm) 기능을 탑재하고 있어, 초기 격리가 피해 확산을 막는 핵심입니다. 유선 랜은 케이블을 뽑고, 무선 랜은 비행기 모드로 전환하거나 Wi-Fi 어댑터를 비활성화해야 합니다.
네트워크 차단과 동시에 USB 메모리, 외장 하드 등 연결된 모든 외부 저장장치를 즉시 분리해야 합니다. 랜섬웨어는 연결된 드라이브를 자동 인식해 암호화 대상에 포함시키므로, 백업용 외장 하드가 연결된 상태에서 감염되면 백업 데이터까지 손실될 수 있습니다. 실제로 2025년 상반기 사례 중 상당수가 백업 드라이브 동시 암호화로 복구가 불가능했던 것으로 보고되었습니다.
초기 대응 후에는 PC를 즉시 종료하지 말고 작업 관리자(Ctrl+Shift+Esc)를 열어 의심스러운 프로세스를 확인합니다. 정상적이지 않은 .exe 파일이나 CPU 사용률이 비정상적으로 높은 프로세스가 있다면 스크린샷으로 기록한 뒤, 전문가에게 분석을 의뢰할 수 있습니다. 이 단계에서 임의로 파일 복구를 시도하거나 알 수 없는 복호화 프로그램을 다운로드하면 상황이 악화될 수 있으므로, 한국인터넷진흥원(KISA) 보호나라 118 센터에 신고 후 안내를 받는 것이 안전합니다.
오프사이트 백업과 복구 훈련
랜섬웨어 피해 복구의 핵심은 물리적으로 분리된 오프사이트 백업입니다. 같은 네트워크에 연결된 NAS(Network Attached Storage)나 상시 연결된 외장 하드는 랜섬웨어 공격 시 함께 암호화될 위험이 있으므로, 백업 후 즉시 분리 보관하는 외장 하드 또는 클라우드 스토리지를 병행해야 합니다. Google Drive, OneDrive, Dropbox 등 주요 클라우드 서비스는 버전 기록 기능을 제공해, 랜섬웨어로 암호화된 파일도 이전 버전으로 복원할 수 있습니다.
백업 주기는 데이터 중요도에 따라 차등 적용하되, 최소 주 1회 전체 백업과 일일 증분 백업을 권장합니다. 특히 회계 데이터, 고객 정보, 프로젝트 파일 등 업무 연속성에 필수적인 데이터는 매일 백업하고, 백업 무결성을 검증하는 절차를 포함해야 합니다. 백업만 하고 복구 테스트를 하지 않으면, 실제 랜섬웨어 공격 시 백업 파일이 손상되어 복구가 불가능한 경우가 발생할 수 있습니다.
연 1회 이상 백업 복구 훈련을 실시하면 실제 감염 상황에서 대응 시간을 단축할 수 있습니다. 훈련 시나리오는 랜섬웨어로 인해 C 드라이브 전체 파일이 암호화되었다고 가정하고, 백업 매체에서 중요 폴더를 새 PC 또는 포맷한 드라이브로 복원하는 전 과정을 실습합니다. 복구 소요 시간, 누락된 파일 유무, 백업 매체 접근 권한 문제 등을 점검하고, 문제 발견 시 백업 계획을 즉시 수정해야 합니다.
| 백업 방식 | 장점 | 단점 | 권장 대상 |
|---|---|---|---|
| 외장 하드 (분리 보관) | 빠른 복구 속도, 네트워크 불필요 | 물리적 손상 위험 | 대용량 데이터 |
| 클라우드 스토리지 | 자동 동기화, 버전 관리 | 월 구독료, 인터넷 의존 | 문서/사진 중심 |
| NAS (네트워크 분리) | 대용량 저장, 중앙 관리 | 설정 복잡, 네트워크 공격 위험 | 중소기업 |
| DVD/블루레이 | 영구 보관, 변조 불가 | 용량 제한, 복구 느림 | 아카이브용 |
PC 보안 설정 종합 점검
랜섬웨어 방어를 위한 PC 보안 설정은 운영체제 업데이트, 방화벽 활성화, 불필요한 포트 차단을 포함한 다층 구조로 구성됩니다. Windows Update는 매월 두 번째 화요일(패치 화요일)에 보안 업데이트가 배포되므로, 자동 업데이트를 활성화하거나 최소 월 1회 수동으로 확인해야 합니다. 특히 SMB(Server Message Block) 취약점은 과거 WannaCry 랜섬웨어 대량 감염의 원인이었으므로, SMBv1 프로토콜은 제어판에서 완전히 비활성화하는 것이 안전합니다.
방화벽 설정에서는 인바운드 규칙을 검토해 사용하지 않는 포트를 모두 차단하고, 아웃바운드 규칙에서도 알 수 없는 프로그램의 외부 통신을 차단해야 합니다. 랜섬웨어는 감염 후 명령 제어 서버(C&C Server)와 통신해 암호화 키를 받아오므로, 화이트리스트 방식으로 허용된 프로그램만 통신하도록 설정하면 신종 랜섬웨어의 활동을 제한할 수 있습니다. 다만 이 방식은 정상 프로그램도 차단될 수 있어, 초기 설정 시 사용자 개입이 필요합니다.
추가적으로 매크로 자동 실행 차단, 스크립트 실행 제한, 관리자 권한 최소화 등의 설정을 적용하면 랜섬웨어 침투 경로를 대폭 줄일 수 있습니다. Microsoft Office에서는 파일-옵션-보안 센터로 이동해 매크로 설정을 ‘알림 표시(모든 매크로 사용 안 함)’로 변경하고, Windows PowerShell 실행 정책은 Restricted 또는 AllSigned로 설정해야 합니다. 일상 업무용 계정은 표준 사용자 권한으로 운영하고, 프로그램 설치 등 관리 작업 시에만 관리자 계정으로 전환하는 습관을 들이면 랜섬웨어가 시스템 파일을 변조하는 것을 원천 차단할 수 있습니다.
PC 보안 전반에 대한 종합적인 설정 가이드는 별도 문서에서 확인할 수 있습니다.
이중 협박 랜섬웨어 대응
2025년 이후 급증한 이중 협박(Double Extortion) 랜섬웨어는 파일 암호화와 동시에 민감 데이터를 외부로 유출한 뒤, 복호화 비용을 지불하지 않으면 다크웹에 공개하겠다고 협박합니다. 이 경우 백업으로 파일을 복구하더라도 유출된 정보로 인한 2차 피해가 발생하므로, 개인정보나 영업 기밀을 다루는 PC는 DLP(Data Loss Prevention) 기능을 갖춘 보안 솔루션을 추가로 고려해야 합니다.
중소기업은 예산 제약으로 전문 DLP 솔루션 도입이 어려운 경우, Windows 정보 보호(WIP) 기능을 활용할 수 있습니다. WIP는 Windows 10 Pro 이상에서 제공되며, 지정한 앱에서만 회사 데이터에 접근하도록 제한하고, 개인 클라우드나 USB로의 복사를 차단합니다. 설정은 그룹 정책 편집기(gpedit.msc)에서 컴퓨터 구성-관리 템플릿-Windows 구성 요소-Windows 정보 보호 경로로 이동해 ‘엔터프라이즈 데이터 보호 허용’ 정책을 활성화하면 됩니다.
이중 협박 랜섬웨어 공격을 받았을 때는 데이터 유출 범위를 신속히 파악해야 합니다. 랜섬웨어 그룹은 협상 카드로 일부 파일 목록이나 스크린샷을 제공하는데, 이를 통해 어떤 정보가 노출되었는지 추정할 수 있습니다. 개인정보가 포함된 경우 개인정보보호법에 따라 개인정보보호위원회에 유출 사실을 신고해야 하며, 영업 기밀이라면 거래처와 고객에게도 사전 통지가 필요합니다. 금전 요구에 응하는 것은 추가 공격을 유발할 수 있으므로, 전문 포렌식 업체와 법률 자문을 거쳐 신중히 대응해야 합니다.
서비스형 랜섬웨어 시대의 사용자 교육
RaaS(Ransomware-as-a-Service) 플랫폼 확산으로 기술력 없는 공격자도 구독료만 지불하면 랜섬웨어를 배포할 수 있게 되면서, 공격 빈도가 기하급수적으로 증가했습니다. 이에 따라 기술적 방어책과 함께 사용자 보안 의식 교육이 필수적입니다. 피싱 메일의 첨부 파일 실행 금지, 의심스러운 링크 클릭 주의, 출처 불명 프로그램 설치 자제 등 기본 수칙을 반복 교육해야 합니다.
특히 중소기업은 보안 담당 조직이 없는 경우가 많아, 전 직원이 랜섬웨어 공격 징후를 인지하고 초기 대응할 수 있도록 분기별 모의 훈련을 실시하는 것이 효과적입니다. 훈련은 가짜 피싱 메일을 발송해 첨부 파일 실행률을 측정하고, 높은 직원에게는 추가 교육을 제공하는 방식으로 진행합니다. 실제 공격 사례와 피해 사진을 공유하면 경각심을 높이는 데 도움이 됩니다.
사용자 교육 시 강조할 핵심 메시지는 ‘의심스러우면 클릭하지 말고 IT 담당자 또는 상사에게 먼저 문의’입니다. 최신 랜섬웨어는 발신자 주소를 거래처나 상사로 위장하는 스피어 피싱(Spear Phishing) 기법을 사용하므로, 평소 거래하는 상대라도 첨부 파일이나 링크가 있으면 전화로 확인하는 습관을 들여야 합니다. 조직 차원에서는 메일 보안 게이트웨이를 도입해 첨부 파일을 샌드박스에서 사전 검사하고, 위험 파일은 자동 차단하는 시스템을 구축하면 사용자 실수로 인한 감염을 크게 줄일 수 있습니다.
자주 묻는 질문 (FAQ)
❓ Windows Defender 제어된 폴더 액세스만으로 랜섬웨어를 완전히 차단할 수 있나요?
제어된 폴더 액세스는 강력한 방어 기능이지만 단독으로는 완벽하지 않습니다. 알려지지 않은 신종 랜섬웨어나 우회 기법을 사용하는 변종은 차단하지 못할 수 있으므로, Anti-Ransomware 기능이 있는 백신 프로그램과 병행해야 합니다. 또한 정기 백업과 보안 업데이트를 함께 적용해야 완전한 방어가 가능합니다.
❓ 랜섬웨어에 감염되었을 때 몸값을 지불하면 파일을 복구할 수 있나요?
랜섬웨어 그룹에 몸값을 지불해도 복호화 키를 받지 못하는 사례가 40% 이상 보고되고 있습니다. 또한 지불 이력이 있는 조직은 재공격 대상이 될 확률이 높습니다. 한국인터넷진흥원과 사이버 경찰청은 몸값 지불을 권장하지 않으며, 오프사이트 백업으로 복구하는 것이 가장 안전한 방법입니다.
❓ 클라우드 스토리지에 백업한 파일도 랜섬웨어로 암호화될 수 있나요?
클라우드 동기화 폴더(OneDrive, Google Drive 등)는 PC에서 암호화된 파일이 그대로 업로드될 수 있습니다. 그러나 대부분의 클라우드 서비스는 30일 내 버전 기록을 제공하므로, 암호화 전 버전으로 복원이 가능합니다. 중요 데이터는 버전 기록 기간이 긴 유료 요금제를 사용하거나, 클라우드 백업 외에 물리적으로 분리된 외장 하드 백업을 병행하는 것이 안전합니다.
❓ 백신 프로그램의 실시간 검사를 끄면 PC 성능이 얼마나 향상되나요?
실시간 검사를 비활성화하면 파일 복사나 프로그램 실행 시 약간의 속도 개선을 체감할 수 있으나, 랜섬웨어 감염 위험이 급격히 증가합니다. 2025년 악성코드 감염 사례의 71%가 랜섬웨어인 상황에서 실시간 보호 없이 PC를 사용하는 것은 매우 위험합니다. 성능 문제가 있다면 실시간 검사를 끄는 대신, 백신 제외 항목에 신뢰할 수 있는 폴더(게임 설치 경로 등)를 추가하거나 SSD로 업그레이드하는 것을 권장합니다.
❓ 중소기업에서 최소 비용으로 랜섬웨어 방어 체계를 구축하려면 어떻게 해야 하나요?
Windows Defender 제어된 폴더 액세스 활성화, 무료 백신(Avast Free 등)의 Anti-Ransomware 기능 사용, 외장 하드와 클라우드 무료 용량(Google Drive 15GB 등)을 병행한 오프사이트 백업, SMBv1 비활성화와 Windows Update 자동 설치 설정만으로도 기본 방어가 가능합니다. 추가로 분기별 전 직원 피싱 메일 모의 훈련과 백업 복구 테스트를 실시하면 비용 부담 없이 실효성 있는 보안 체계를 갖출 수 있습니다.