랜섬웨어 예방과 대응 가이드

랜섬웨어는 사용자의 파일을 암호화하고 복구 대가로 금전을 요구하는 악성코드입니다. 작성 시점 기준으로 한 달 동안 474건의 랜섬웨어 공격 사례가 보고되는 등 공격 빈도가 급증하고 있습니다. 공격 기술의 발전 속도가 방어 기술 확산 속도를 앞지르고 있어 개인과 기업 모두 각별한 주의가 필요합니다.

한국인터넷진흥원(KISA)은 ‘랜섬웨어 악성코드 감염피해 예방을 위한 보안강화 권고’를 지속적으로 배포하며 예방 조치를 강조하고 있습니다. 중소기업, 지자체, 의료기관, 제조 OT 환경이 특히 취약한 것으로 분석되며, 패치 미적용, 백업 미비, 관리자 권한 과다, 원격근무 환경 등에서 위험이 크게 증가합니다. 이 글에서는 랜섬웨어의 감염 경로와 예방 수칙, 그리고 감염 시 대응 방법을 구체적으로 알아보겠습니다.

랜섬웨어 감염 경로와 특징

랜섬웨어는 주로 이메일 첨부파일, 악성 링크, 취약한 원격 접속 서비스를 통해 유입됩니다. 공격자는 신뢰할 만한 기관을 사칭한 이메일에 악성 파일을 첨부하거나, 정상 웹사이트를 해킹해 악성코드를 심어두는 방식을 사용합니다. 최근에는 공급망 공격을 통해 소프트웨어 업데이트 과정에서 랜섬웨어를 배포하는 사례도 증가하고 있습니다.

감염되면 문서, 이미지, 데이터베이스 등 주요 파일이 암호화되어 열리지 않으며, 바탕화면에 복구 비용 요구 메시지가 표시됩니다. 일부 랜섬웨어는 파일을 암호화하기 전에 외부 서버로 데이터를 유출한 뒤 공개하겠다고 협박하는 이중 갈취 방식을 사용합니다. 암호화된 파일은 복호화 키 없이는 복구가 거의 불가능하며, 금전을 지불하더라도 복구를 보장받을 수 없습니다.

공격 대상은 개인부터 대기업까지 다양하지만, 특히 보안 체계가 취약한 중소기업과 의료기관이 집중 타깃이 되고 있습니다. 원격근무 확대로 인한 VPN 취약점, 클라우드 환경에서의 권한 관리 소홀, OT 환경의 구형 시스템 등이 주요 공격 지점으로 활용됩니다. 따라서 조직 규모와 무관하게 모든 사용자가 예방 조치를 실천해야 합니다.

기본 예방 수칙: 백업과 업데이트

랜섬웨어 예방의 가장 기본은 정기적인 백업입니다. 중요 파일은 외장 하드디스크, NAS, 클라우드 등 최소 2곳 이상에 백업해두어야 합니다. 백업 저장소는 평소 네트워크에서 분리해두어야 랜섬웨어가 백업 파일까지 암호화하는 것을 막을 수 있습니다. 백업 주기는 데이터 중요도에 따라 일주일에 한 번에서 매일까지 조정하며, 백업 후에는 복구 테스트를 주기적으로 실시해 실제 복구 가능 여부를 확인해야 합니다.

운영체제와 소프트웨어의 보안 업데이트를 신속하게 적용하는 것도 필수입니다. 랜섬웨어는 공개된 보안 취약점을 악용해 시스템에 침투하는 경우가 많으므로, 윈도우 업데이트, 오피스 프로그램 패치, 백신 프로그램 업데이트를 자동으로 설정해두는 것이 좋습니다. 특히 원격 데스크톱 프로토콜(RDP), VPN 장비, 웹서버 등 외부에 노출된 서비스는 취약점 패치를 우선적으로 적용해야 합니다.

백신 프로그램은 최신 상태로 유지하고 실시간 검사 기능을 활성화해야 합니다. 무료 백신보다는 랜섬웨어 전용 차단 기능을 제공하는 유료 보안 솔루션을 사용하는 것이 더 안전합니다. 기업 환경에서는 엔드포인트 탐지 및 대응(EDR) 솔루션을 도입해 비정상적인 파일 암호화 시도를 실시간으로 탐지하고 차단할 수 있습니다.

이메일과 웹 사용 시 주의사항

이메일은 랜섬웨어의 주요 유입 경로입니다. 발신자를 확인하지 않고 첨부파일을 열거나 링크를 클릭하면 악성코드에 감염될 수 있습니다. 특히 공공기관, 택배회사, 금융기관을 사칭한 이메일에 주의해야 하며, 업무상 필요한 파일이라도 발신자 주소와 내용을 꼼꼼히 확인한 후 열어야 합니다. exe, scr, bat, js 확장자 파일은 특히 위험하므로 열지 말고 삭제하는 것이 안전합니다.

이메일 본문의 링크는 클릭 전에 마우스를 올려 실제 URL을 확인해야 합니다. 단축 URL이나 의심스러운 주소는 피하고, 공식 웹사이트에 직접 접속해 확인하는 습관을 들여야 합니다. 회사 메일 시스템에서는 스팸 필터와 첨부파일 검사 기능을 강화하고, 매크로가 포함된 오피스 문서는 자동 실행되지 않도록 설정해야 합니다.

웹 브라우저 사용 시에도 주의가 필요합니다. 불법 소프트웨어 다운로드 사이트, 성인 사이트, 토렌트 사이트 등은 악성코드가 숨어있을 가능성이 높으므로 접속을 피해야 합니다. 브라우저와 플러그인(Java, Flash 등)은 최신 버전으로 유지하고, 팝업 차단 기능을 활성화해야 합니다. 공공 와이파이 사용 시에는 VPN을 통해 암호화된 연결을 사용하는 것이 안전합니다.

네트워크와 접근 권한 관리

원격 접속 서비스는 랜섬웨어 공격의 주요 통로입니다. 원격 데스크톱(RDP)을 사용할 경우 기본 포트(3389)를 변경하고, 강력한 암호를 설정하며, 접속 가능한 IP 주소를 제한해야 합니다. 가능하면 RDP를 인터넷에 직접 노출하지 말고 VPN을 통해서만 접속하도록 구성하는 것이 좋습니다. 다단계 인증(MFA)을 적용하면 암호가 유출되더라도 추가 인증 절차를 통해 무단 접속을 차단할 수 있습니다.

네트워크 내부에서는 권한 관리를 철저히 해야 합니다. 관리자 계정은 필요한 경우에만 사용하고, 일상적인 작업은 일반 사용자 권한으로 수행해야 합니다. 공유 폴더는 필요한 사용자에게만 최소 권한을 부여하고, 모든 사용자가 쓰기 권한을 가진 공유 폴더는 제거해야 합니다. 네트워크 세그먼테이션을 통해 중요 시스템과 일반 사용자 네트워크를 분리하면 랜섬웨어 확산을 제한할 수 있습니다.

기업 환경에서는 보안 정책을 수립하고 정기적으로 점검해야 합니다. 직원 대상 보안 교육을 분기별로 실시하고, 모의 피싱 훈련을 통해 실전 대응 능력을 키워야 합니다. 보안 로그를 수집하고 분석해 비정상적인 접속 시도나 파일 변경을 조기에 탐지할 수 있도록 모니터링 체계를 구축하는 것도 중요합니다.

감염 시 초기 대응 절차

랜섬웨어 감염이 의심되면 즉시 네트워크 연결을 차단해야 합니다. 유선 랜 케이블을 뽑고 와이파이를 끄면 다른 컴퓨터나 서버로 감염이 확산되는 것을 막을 수 있습니다. 공유 폴더나 클라우드 동기화도 즉시 중단해야 합니다. 감염된 컴퓨터는 전원을 끄지 말고 그대로 두어 포렌식 조사를 위한 증거를 보존해야 합니다.

관리자나 보안 담당자에게 즉시 보고하고 전문가의 지원을 요청해야 합니다. KISA 인터넷침해대응센터(국번없이 118)에 신고하면 무료 상담과 기술 지원을 받을 수 있습니다. 몸값 요구 메시지, 암호화된 파일 목록, 이메일 수신 기록 등을 사진으로 찍어 증거로 보관하고, 법적 대응을 위해 경찰에 신고하는 것도 고려해야 합니다.

절대 몸값을 지불해서는 안 됩니다. 금전을 지불하더라도 파일 복구를 보장받을 수 없으며, 지불 사실이 알려지면 재공격 대상이 될 가능성이 높습니다. 대신 백업 파일을 이용해 시스템을 복구하고, 보안 전문업체의 도움을 받아 감염 경로를 분석하고 재발 방지 대책을 마련해야 합니다. 일부 랜섬웨어는 무료 복호화 도구가 공개되어 있으므로, No More Ransom 프로젝트 같은 사이트에서 복호화 도구를 찾아볼 수 있습니다.

감염 후 복구와 재발 방지

시스템 복구는 전문가의 지도 아래 신중하게 진행해야 합니다. 먼저 감염된 시스템을 완전히 초기화하고 운영체제를 재설치한 후, 보안 패치를 모두 적용해야 합니다. 백신 프로그램으로 전체 검사를 실시하고, 백업 파일도 검사를 거친 후 복원해야 합니다. 암호화되지 않은 백업 파일이 있다면 이를 활용해 데이터를 복구할 수 있습니다.

계정 정보는 모두 변경해야 합니다. 이메일, 클라우드, 업무 시스템 등 모든 계정의 비밀번호를 새로 설정하고, 다단계 인증을 활성화해야 합니다. 랜섬웨어가 계정 정보를 탈취했을 가능성이 있으므로 금융 거래 내역도 확인하고, 이상 거래가 발견되면 즉시 금융기관에 신고해야 합니다.

재발 방지를 위해서는 감염 원인을 철저히 분석해야 합니다. 어떤 경로로 침투했는지, 어떤 취약점이 악용되었는지 파악한 후 동일한 공격을 차단할 수 있도록 보안 설정을 강화해야 합니다. 직원 교육을 강화하고, 보안 점검 주기를 단축하며, 침입 탐지 시스템을 도입하는 등 다층 방어 체계를 구축하는 것이 중요합니다.

자주 묻는 질문 (FAQ)