랜섬웨어(Ransomware)에 대해서 알아보기

간지뽕빨리턴님 2025. 11. 29. 09:44

예상 읽기 시간 : 약 18분

랜섬웨어 완벽 가이드

원리 · 배포 경로 · 예방 · 대응 총정리

정보보안

랜섬웨어 대응

2025년 최신 정보

왜 지금 랜섬웨어를 알아야 하는가

최근 몇 년간 전 세계적으로 랜섬웨어 공격이 급증하면서, 개인부터 대기업, 정부 기관까지 막대한 피해를 입고 있습니다. 단순히 컴퓨터 바이러스의 일종으로 생각했던 랜섬웨어는 이제 조직의 운영을 마비시키고 수십억 원의 금전적 손실을 야기하는 심각한 사이버 위협으로 자리 잡았습니다.

493억원

2024년 평균 피해액

11초

랜섬웨어 공격 발생 주기

72%

중소기업 타겟 비율

이 글에서는 랜섬웨어가 무엇인지, 어떻게 작동하는지, 주요 감염 경로는 무엇인지, 그리고 가장 중요한 예방과 대응 방법까지 실무에서 바로 활용할 수 있는 정보를 전문가와 초보자 모두가 이해할 수 있도록 상세하게 정리했습니다. 정부 공식 문서와 최신 보안 동향을 기반으로 작성되었으니, 끝까지 읽어보시고 소중한 데이터를 안전하게 지키시기 바랍니다.

랜섬웨어란 무엇인가

1.1 랜섬웨어의 정의

랜섬웨어(Ransomware)는 랜섬(Ransom, 몸값)과 소프트웨어(Software)의 합성어로, 사용자의 파일이나 시스템을 암호화하여 사용할 수 없게 만든 뒤, 이를 복구하는 대가로 금전을 요구하는 악성 소프트웨어입니다.

쉽게 말해, 여러분의 중요한 문서, 사진, 데이터베이스 등을 디지털 자물쇠로 잠가버린 후 "열쇠를 원하면 돈을 내라"라고 협박하는 것입니다. 마치 현실 세계에서 인질을 잡고 몸값을 요구하는 것과 동일한 개념이지만, 디지털 환경에서 발생한다는 차이가 있습니다.

랜섬웨어의 역사는 1989년 AIDS Trojan까지 거슬러 올라가지만, 본격적으로 위협이 된 것은 2013년 CryptoLocker가 등장하면서부터입니다. 이후 WannaCry(2017), NotPetya(2017), Ryuk(2018), Sodinokibi/REvil(2019), LockBit(2019-현재) 등 점점 더 정교하고 파괴적인 변종들이 등장하고 있습니다.

현재 랜섬웨어는 단순한 사이버 범죄를 넘어 조직화된 범죄 산업으로 발전했습니다. 전문 개발자, 협상가, 돈세탁 전문가 등으로 구성된 범죄 조직이 마치 기업처럼 운영되고 있으며, 연간 수조 원의 불법 수익을 올리고 있습니다.

1.2 랜섬웨어의 종류

종류	특징	대표 사례
암호화형	파일을 암호화하여 접근 불가능하게 만듦	WannaCry, Ryuk, LockBit
잠금형	시스템 자체를 잠가 사용 불가능하게 만듦	Reveton, WinLocker
유출협박형	데이터를 탈취하여 공개하겠다고 협박	Maze, DoppelPaymer
이중 갈취형	암호화 + 데이터 유출 협박 병행	REvil, Conti, LockBit 3.0

최근에는 단순히 파일을 암호화하는 것을 넘어, 중요한 데이터를 먼저 탈취한 후 암호화하고, 몸값을 지불하지 않으면 데이터를 공개하겠다고 협박하는 이중 갈취(Double Extortion) 방식이 주류를 이루고 있습니다. 이는 피해자가 백업을 보유하고 있더라도 데이터 유출로 인한 평판 손상과 법적 책임 때문에 몸값을 지불할 수밖에 없게 만드는 전략입니다.

랜섬웨어의 작동 원리

랜섬웨어가 어떻게 작동하는지 이해하면 예방과 대응에 큰 도움이 됩니다. 일반적인 랜섬웨어 공격은 다음과 같은 단계로 진행됩니다.

1단계 : 초기 침투 (Initial Access)

공격자는 피싱 이메일, 취약한 원격 접속 서비스(RDP), 악성 웹사이트, 소프트웨어 취약점 등을 통해 시스템에 최초로 침입합니다. 이 단계에서는 사용자가 악성 첨부파일을 열거나 악성 링크를 클릭하는 등의 행위가 발생하는 경우가 많습니다.

2단계 : 권한 상승 및 내부 이동 (Privilege Escalation & Lateral Movement)

초기 침투에 성공한 공격자는 시스템 내에서 관리자 권한을 획득하려 시도합니다. Windows의 경우 취약한 설정이나 패치되지 않은 보안 허점을 이용해 권한을 상승시킵니다. 이후 네트워크 내 다른 시스템으로 이동하여 공격 범위를 확대합니다.

3단계 : 데이터 탐색 및 탈취 (Data Discovery & Exfiltration)

공격자는 네트워크 내에서 중요한 데이터(고객 정보, 재무 데이터, 기밀 문서 등)를 찾아냅니다. 최근 랜섬웨어 그룹들은 암호화 전에 이러한 데이터를 외부 서버로 유출시켜 이중 갈취의 수단으로 활용합니다.

4단계 : 암호화 실행 (Encryption)

이 단계가 랜섬웨어 공격의 핵심입니다. 공격자는 AES-256, RSA-2048 이상의 강력한 암호화 알고리즘을 사용하여 파일을 암호화합니다.

암호화 과정의 기술적 세부사항

대칭키 암호화 (AES) : 각 파일은 고유한 AES-256 키로 암호화됩니다. AES는 암호화와 복호화 속도가 빠르기 때문에 대용량 파일 처리에 적합합니다.
비대칭키 암호화 (RSA) : AES로 파일을 암호화한 후, 그 AES 키 자체를 RSA 공개키로 암호화합니다. RSA 개인키는 공격자만 가지고 있으므로, 공격자 없이는 AES 키를 복구할 수 없습니다.
타겟 파일 선별 : 모든 파일을 암호화하지 않습니다. 문서(.docx, .xlsx, .pdf), 이미지(.jpg, .png), 데이터베이스(.sql, .mdb), 백업 파일(.bak), 압축 파일(.zip, .rar) 등 가치가 높은 확장자만 선별적으로 암호화합니다. 운영체제 핵심 파일은 암호화하지 않아 시스템이 부팅되고 몸값 요구 메시지를 표시할 수 있게 합니다.
암호화 속도 : 최신 랜섬웨어는 멀티스레딩을 사용하여 여러 파일을 동시에 처리합니다. SSD 기준으로 1GB 파일을 수 초 내에 암호화할 수 있으며, 일반적인 사무용 PC의 모든 문서를 10분 이내에 암호화할 수 있습니다.
원본 파일 삭제 : 암호화된 사본을 만든 후 원본 파일은 안전하게 삭제됩니다. 단순 삭제가 아닌 덮어쓰기(Overwrite) 방식을 사용하여 데이터 복구 도구로도 복원할 수 없게 만듭니다.
섀도우 카피 삭제 : Windows의 볼륨 섀도우 카피(Volume Shadow Copy)와 시스템 복원 지점을 삭제하여 Windows 내장 복구 기능을 무력화합니다.
백업 파일 탐색 : 네트워크 드라이브, 클라우드 동기화 폴더, 외장 하드 등을 탐색하여 백업 파일까지 암호화합니다.

일반적으로 문서, 이미지, 데이터베이스, 백업 파일 등 가치가 높은 파일들을 우선적으로 암호화합니다. 암호화 속도는 매우 빠르며, 수 분 내에 수천 개의 파일이 암호화될 수 있습니다. 암호화된 파일은 원본 이름에 특정 확장자(. locked,. encrypted,. crypt 등)가 추가되어 쉽게 식별할 수 있습니다.

5단계 : 몸값 요구 (Ransom Demand)

암호화가 완료되면 바탕화면에 몸값 요구 메시지가 표시됩니다. 일반적으로 비트코인이나 모네로 같은 암호화폐로 일정 금액을 지불하면 복호화 키를 제공하겠다고 약속합니다. 대부분의 경우 72시간 내에 지불하지 않으면 금액이 상승하거나 복호화 키를 영구 삭제하겠다고 협박합니다.

랜섬웨어에 사용되는 암호화 알고리즘은 현대 암호학 기술을 기반으로 하며, 복호화 키 없이는 사실상 복구가 불가능합니다. AES-256 암호화의 경우, 전 세계 모든 컴퓨터를 동원해도 수십억 년이 걸려야 해독할 수 있을 정도로 강력합니다. 따라서 예방이 최선의 방어책입니다.

랜섬웨어 주요 배포 경로

랜섬웨어가 어떻게 유입되는지 알면 감염을 사전에 차단할 수 있습니다. 다음은 실제로 가장 많이 사용되는 배포 경로들입니다.

3.1 피싱 이메일 (Phishing Email)

전체 랜섬웨어 감염의 약 45%가 피싱 이메일을 통해 발생합니다. 공격자는 택배 배송 안내, 세금 고지서, 업무 문서, 청구서, 법원 소환장 등을 가장한 이메일에 악성 첨부파일(주로 .doc, .xls, .pdf, .zip)을 포함시키거나 악성 링크를 삽입합니다.

피싱 이메일의 주요 유형과 특징

매크로 활성화 유도 : Word나 Excel 파일을 열면 "이 문서는 이전 버전에서 작성되었습니다. 내용을 보려면 매크로를 활성화하세요" 또는 "콘텐츠 사용"을 클릭하라는 메시지가 표시됩니다. 사용자가 매크로를 활성화하면 숨겨진 악성 스크립트가 실행되어 랜섬웨어를 다운로드하고 설치합니다.
악성 링크 클릭 : "배송 조회하기", "청구서 확인", "비밀번호 재설정" 등의 버튼이나 링크를 클릭하면 악성 사이트로 연결됩니다. 이 사이트는 정상 사이트처럼 보이지만, 백그라운드에서 자동으로 랜섬웨어를 다운로드하거나 브라우저 취약점을 악용하여 시스템에 침투합니다.
스피어 피싱 (Spear Phishing) : 특정 조직이나 개인을 타겟으로 한 정교한 피싱 공격입니다. 공격자는 SNS, LinkedIn, 회사 웹사이트 등에서 정보를 수집하여 실제 업무 담당자 이름, 프로젝트명, 내부 용어 등을 사용합니다. 예를 들어 "김대리님, 지난번 요청하신 Q4 실적 보고서를 첨부합니다"와 같이 매우 구체적이고 신뢰할 만한 내용으로 작성됩니다.
CEO 사칭 공격 (CEO Fraud) : 대표이사나 임원을 사칭하여 "긴급 건이니 첨부 파일 확인 후 바로 처리해주세요"와 같은 긴박한 톤으로 직원에게 압박을 가합니다.

피싱 이메일 식별 방법

발신자 주소 확인 : @naver.com이 아닌 @naver-com.tk처럼 유사한 도메인을 사용하거나, 알 수 없는 메일 주소에서 발송됩니다.
맞춤법과 어색한 표현 : 기계 번역을 사용한 듯한 어색한 한국어, 불필요한 띄어쓰기, 맞춤법 오류가 많습니다.
긴급성 강조 : "24시간 이내", "즉시 확인", "법적 조치" 등 긴박감을 조성하여 신중한 판단을 방해합니다.
첨부파일 확장자 : .exe, .scr, .bat, .js, .vbs 등 실행 파일이거나, .zip 안에 실행 파일이 들어있는 경우가 많습니다. document.pdf.exe처럼 이중 확장자를 사용하기도 합니다.
링크 주소 확인 : 링크 위에 마우스를 올려보면(클릭하지 말고) 실제 URL이 표시됩니다. 표시된 텍스트와 실제 URL이 다르면 의심해야 합니다.

3.2 원격 데스크톱 프로토콜(RDP) 공격

RDP(Remote Desktop Protocol)는 Microsoft가 개발한 프로토콜로, 원격으로 다른 컴퓨터에 접속하여 마치 그 컴퓨터 앞에 앉아 있는 것처럼 사용할 수 있게 해줍니다. 많은 기업들이 재택근무, 원격 관리, IT 지원 등을 위해 RDP를 사용하지만, 보안 설정이 미흡하면 공격자에게 직접적인 침투 경로를 제공하게 됩니다.

RDP가 위험한 이유

직접적인 시스템 접근 : RDP로 로그인하면 공격자는 정상 사용자와 동일한 권한을 가지므로, 별도의 권한 상승 과정 없이 바로 파일 암호화나 데이터 탈취를 수행할 수 있습니다.
인터넷 노출 : Shodan, Censys 같은 검색 엔진을 통해 인터넷에 노출된 RDP 포트(기본 3389)를 쉽게 찾을 수 있습니다. 2024년 기준으로 전 세계에 약 300만 개 이상의 RDP 서비스가 인터넷에 직접 노출되어 있습니다.
약한 인증 : 많은 시스템이 여전히 단순한 비밀번호만으로 보호되고 있으며, 다중 인증(MFA)이 설정되지 않은 경우가 많습니다.

RDP를 통한 공격 방법

무차별 대입 공격(Brute Force Attack) : 공격자는 자동화 도구(Hydra, Medusa 등)를 사용하여 일반적인 비밀번호 조합(admin/admin, administrator/password, user123/password123 등)과 사전 공격(Dictionary Attack)을 수행합니다. 계정 잠금 정책이 없거나 느슨하면 수백만 개의 조합을 시도할 수 있습니다.
자격증명 스터핑(Credential Stuffing) : 다크웹에서 유출된 수십억 개의 이메일/비밀번호 조합 데이터베이스를 구매하여 RDP 로그인을 시도합니다. 많은 사람들이 여러 서비스에서 동일한 비밀번호를 사용하므로 성공률이 높습니다.
포트 스캐닝 : Masscan, Nmap 같은 도구로 특정 IP 대역에서 3389 포트가 열려 있는 시스템을 찾아냅니다. 발견된 시스템에 대해 자동으로 로그인 시도를 수행합니다.
BlueKeep 등 RDP 취약점 악용 : 2019년 발견된 BlueKeep(CVE-2019-0708)처럼 RDP 자체의 보안 취약점을 악용하여 인증 없이 시스템에 침투하는 경우도 있습니다.

실제 공격 시나리오 :

공격자가 RDP로 로그인에 성공하면, 먼저 시스템을 조사합니다. 네트워크 구조를 파악하고, 백업 위치를 찾으며, 중요 데이터가 어디에 있는지 확인합니다. 그 다음 백신 소프트웨어를 비활성화하고, Windows Defender를 끄고, 방화벽 규칙을 수정합니다. 준비가 완료되면 랜섬웨어를 업로드하여 실행하거나, 네트워크 공유를 통해 다른 시스템으로 전파합니다. 이 모든 과정은 정상적인 관리 작업처럼 보이므로 탐지가 어렵습니다.

3.3 악성 웹사이트 및 드라이브 바이 다운로드

사용자가 악성 코드가 삽입된 웹사이트를 방문하기만 해도 자동으로 랜섬웨어가 다운로드되는 방식입니다. 정상적인 웹사이트가 해킹되어 악성 스크립트가 삽입되는 경우도 많습니다.

멀버타이징(Malvertising) : 합법적인 광고 네트워크에 악성 광고를 게재하여, 사용자가 광고를 클릭하거나 광고가 표시된 페이지를 방문하기만 해도 감염됩니다.
워터링 홀 공격 : 특정 업계나 조직의 사람들이 자주 방문하는 웹사이트를 해킹하여 악성코드를 심어둡니다.

3.4 소프트웨어 취약점 악용

운영체제나 애플리케이션의 보안 취약점을 이용해 랜섬웨어를 설치합니다. 대표적인 사례가 2017년 전 세계적으로 큰 피해를 입힌 WannaCry입니다.

EternalBlue 취약점 : WannaCry는 Windows SMB 프로토콜의 취약점을 악용하여 네트워크 내에서 자동으로 전파되었습니다.
제로데이 취약점 : 아직 패치가 나오지 않은 알려지지 않은 취약점을 악용합니다.
오래된 시스템 : 보안 업데이트가 중단된 구형 운영체제(Windows 7, Windows Server 2008 등)는 특히 취약합니다.

3.5 공급망 공격 (Supply Chain Attack)

신뢰할 수 있는 소프트웨어 공급업체나 서비스 제공업체를 해킹하여, 그들의 소프트웨어 업데이트나 서비스를 통해 랜섬웨어를 배포하는 방식입니다.

Kaseya VSA 공격 : 2021년, REvil 랜섬웨어 그룹이 IT 관리 소프트웨어인 Kaseya VSA를 해킹하여 전 세계 수천 개 기업에 랜섬웨어를 배포했습니다.
소프트웨어 업데이트 변조 : 정상적인 소프트웨어 업데이트에 악성코드를 삽입하여 배포합니다.

3.6 USB 및 이동식 저장장치

감염된 USB 드라이브나 외장 하드를 컴퓨터에 연결하면 자동으로 랜섬웨어가 실행되는 경우도 있습니다. 특히 폐쇄망 환경에서는 이러한 물리적 매체가 주요 감염 경로가 됩니다.

최근 주요 랜섬웨어 사례

실제 발생한 대규모 랜섬웨어 공격 사례를 통해 그 심각성과 대응 방법을 배울 수 있습니다. 다음은 전 세계적으로 큰 영향을 미친 주요 사건들입니다.

WannaCry 글로벌 대란 (2017년 5월)

공격 그룹 : 북한 연계 해킹 그룹으로 추정 (Lazarus Group)

피해 규모 : 전 세계 150개국 이상, 약 30만 대의 컴퓨터가 감염되었으며, 총 피해액은 약 40억 달러(약 4조 8천억 원)로 추산됩니다. 영국의 국가보건서비스(NHS)는 81개 병원이 마비되어 수술이 취소되고 응급실이 폐쇄되는 등 심각한 피해를 입었습니다.

공격 방법 : NSA(미국 국가안보국)에서 유출된 EternalBlue 취약점을 악용하여 Windows SMB 프로토콜의 보안 허점을 통해 자동으로 전파되었습니다. 패치되지 않은 Windows 7과 Windows Server 시스템이 주요 타겟이 되었으며, 한 번 감염되면 네트워크 내 모든 취약한 시스템으로 자동 확산되는 웜(Worm) 형태였습니다.

영향 및 교훈 : 이 사건은 전 세계적으로 사이버 보안의 중요성을 일깨웠습니다. 특히 오래된 운영체제의 위험성과 정기적인 보안 패치의 필수성이 부각되었으며, 많은 기업과 기관이 백업 시스템과 재해 복구 계획을 재정비하는 계기가 되었습니다. Microsoft는 이미 지원이 종료된 Windows XP에 대해서도 긴급 보안 패치를 제공했습니다.

Colonial Pipeline 미국 에너지 인프라 공격 (2021년 5월)

공격 그룹 : DarkSide (러시아 기반 랜섬웨어 조직)

피해 규모 : 미국 동부 해안 연료 공급의 45%를 담당하는 송유관 시스템이 6일간 완전히 마비되었으며, 하루 250만 배럴의 연료 운송이 중단되었습니다. Colonial Pipeline은 440만 달러(약 49억 원)의 비트코인 몸값을 지불했으며, 미국 정부는 일부 금액을 추적하여 회수했습니다.

공격 방법 : 공격자들은 다크웹에서 유출된 VPN 계정 정보를 구매하여 Colonial Pipeline의 네트워크에 접근했습니다. 해당 VPN 계정은 다중 인증(MFA)이 설정되지 않았으며, 더 이상 사용하지 않는 계정이었지만 비활성화되지 않은 상태였습니다. 공격자들은 약 90GB의 데이터를 탈취한 후 시스템을 암호화했습니다.

영향 및 교훈 : 미국 동부 지역 주유소에서 대규모 연료 부족 사태가 발생했으며, 일부 지역에서는 주유소의 70% 이상이 연료가 바닥났습니다. 바이든 대통령은 국가 비상사태를 선포했으며, 이 사건 이후 미국은 랜섬웨어를 국가 안보 위협으로 공식 지정했습니다. 중요 인프라 보호를 위한 새로운 사이버 보안 규제가 도입되었으며, 모든 VPN 계정에 대한 MFA 의무화가 권고되었습니다.

Kaseya VSA 공급망 공격 (2021년 7월)

공격 그룹 : REvil (Sodinokibi) - 러시아 기반 조직

피해 규모 : IT 관리 소프트웨어인 Kaseya VSA를 사용하는 약 60개의 MSP(관리형 서비스 제공업체)와 그들의 고객사 약 1,500개 기업이 동시에 감염되었습니다. 공격자들은 초기에 7,000만 달러(약 800억 원)의 몸값을 요구했습니다.

공격 방법 : 공격자들은 Kaseya VSA의 제로데이 취약점을 발견하고 악용했습니다. 이 소프트웨어는 IT 서비스 제공업체들이 여러 고객사의 시스템을 원격으로 관리하는 데 사용되므로, 하나의 취약점을 통해 수천 개의 기업을 동시에 공격할 수 있었습니다. 공격은 금요일 오후(미국 독립기념일 연휴 직전)에 실행되어 대응 시간을 최소화했습니다.

영향 및 교훈 : 스웨덴의 대형 슈퍼마켓 체인 Coop의 800개 매장이 영업을 중단했으며, POS 시스템과 계산대가 모두 작동을 멈췄습니다. 뉴질랜드의 여러 학교와 유치원도 폐쇄되었습니다. 이 사건은 공급망 공격(Supply Chain Attack)의 위험성을 명확히 보여주었으며, 신뢰할 수 있는 소프트웨어 공급업체라도 보안 취약점이 있을 수 있음을 증명했습니다. 많은 기업들이 제3자 소프트웨어에 대한 보안 평가를 강화하게 되었습니다.

JBS Foods 글로벌 육류 공급망 공격 (2021년 6월)

공격 그룹 : REvil

피해 규모 : 세계 최대 육류 가공업체인 JBS의 미국, 캐나다, 호주 전역의 공장이 일시적으로 가동 중단되었습니다. 미국 쇠고기 생산량의 약 20%가 영향을 받았으며, JBS는 1,100만 달러(약 123억 원)의 몸값을 지불했습니다.

공격 방법 : 공격자들은 JBS의 북미 및 호주 IT 시스템을 타겟으로 하여 생산 관리 시스템과 서버를 암호화했습니다. 백업 시스템은 무사했지만, 완전한 복구에는 시간이 필요했고, 식품 공급망 차질을 우려하여 몸값을 지불하기로 결정했습니다.

영향 및 교훈 : 미국 농무부는 육류 가격 급등과 공급 부족을 우려했으며, 백악관이 직접 개입하여 상황을 모니터링했습니다. 이 사건은 식품 공급망의 디지털 의존도와 랜섬웨어가 국가 식량 안보에 미칠 수 있는 영향을 보여주었습니다. 제조업 및 물류 산업에서 운영 기술(OT) 시스템의 보안 강화 필요성이 대두되었습니다.

대만 반도체 업체 TSMC 협력업체 공격 (2023년 6월)

공격 그룹 : LockBit 3.0

피해 규모 : 세계 최대 반도체 제조업체 TSMC의 주요 협력업체인 Kinmax Technology가 공격당해 약 7,000만 달러(약 900억 원)의 몸값을 요구받았습니다. 공격자들은 TSMC와 Apple, AMD 등 주요 고객사의 기밀 정보를 탈취했다고 주장했습니다.

공격 방법 : LockBit 3.0은 이중 갈취(Double Extortion) 전략을 사용하여 먼저 약 1.5TB의 데이터를 탈취한 후 시스템을 암호화했습니다. 탈취된 데이터에는 제품 설계도, 고객 정보, 재무 데이터 등이 포함된 것으로 알려졌으며, 몸값을 지불하지 않으면 이를 공개하겠다고 협박했습니다.

영향 및 교훈 : 글로벌 반도체 공급망에 대한 우려가 증가했으며, 특히 중요한 기술 정보가 유출될 가능성에 업계가 긴장했습니다. TSMC는 직접적인 피해는 없었지만 협력업체를 통한 간접적인 데이터 유출 위험을 재평가했습니다. 이 사건 이후 제조업 분야에서 공급망 전체의 사이버 보안 수준을 균일하게 높이는 것의 중요성이 강조되었습니다.

한국 주요 기업 및 기관 연쇄 공격 (2023-2024년)

피해 규모 : 2024년 상반기에만 국내에서 랜섬웨어 관련 신고가 전년 대비 34% 증가했으며, 주요 제조업체(자동차 부품, 반도체 장비), 물류업체, 의료기관, 건설사 등이 연쇄적으로 공격당했습니다. 국내 중견 제조업체의 경우 평균 15억~50억 원의 몸값을 요구받았습니다.

주요 공격 그룹 : LockBit 3.0, ALPHV/BlackCat, Play 랜섬웨어, Akira 등 다양한 랜섬웨어 조직이 한국 기업을 타겟으로 했습니다.

공격 방법 : 대부분의 공격은 취약한 VPN 또는 RDP를 통한 초기 침투로 시작되었으며, 일부는 공급망 공격이나 스피어 피싱을 활용했습니다. 이중 갈취 방식이 주를 이루었으며, 개인정보보호법 위반에 따른 과징금과 소송 우려를 악용하여 몸값 지불을 압박했습니다.

특징 및 영향 : 한국 기업들은 특히 중소기업의 경우 보안 투자가 부족하여 공격자들의 주요 타겟이 되고 있습니다. 공격자들은 한국 기업의 재무 상황을 사전에 조사하여 지불 능력이 있는 기업을 선별적으로 공격합니다. 또한 한국어로 된 협박 메시지를 사용하고, 한국 시간대에 맞춰 공격을 실행하는 등 점점 더 정교해지고 있습니다. KISA에 따르면 공격당한 기업 중 약 30%가 몸값을 지불했지만, 이 중 15%는 완전한 복구에 실패했습니다.

최근 랜섬웨어 공격의 핵심 트렌드는 다음과 같습니다.

표적화된 공격 (Targeted Attack) : 과거의 무차별적 공격에서 벗어나, 공격 대상 기업을 면밀히 조사한 후 재무 상황, 업종, 중요도를 평가하여 선별적으로 공격합니다.
이중/삼중 갈취 : 단순 암호화를 넘어 데이터 탈취 후 협박, DDoS 공격 병행, 고객/파트너사에 직접 연락하여 압박하는 등 다각도의 압박 전술을 사용합니다.
공급망 공격 증가 : 보안이 강화된 대기업 대신 상대적으로 취약한 협력업체나 소프트웨어 공급사를 먼저 공격하여 간접적으로 대기업에 침투합니다.
RaaS 모델 확산 : 랜섬웨어 서비스(Ransomware as a Service) 모델로, 기술이 없는 범죄자도 일정 수수료를 내고 랜섬웨어 플랫폼을 이용할 수 있게 되어 공격 건수가 급증했습니다.
중요 인프라 타겟팅 : 에너지, 의료, 교통, 금융 등 중요 인프라를 공격하여 사회적 혼란을 야기하고 더 높은 몸값을 받아냅니다.

랜섬웨어 예방 방법

랜섬웨어는 일단 감염되면 복구가 매우 어렵기 때문에, 예방이 최선의 방어책입니다. 다음은 개인과 조직이 반드시 실천해야 할 예방 조치들입니다.

정기적인 백업

3-2-1 백업 규칙을 따르세요. 3개의 복사본을 2개의 서로 다른 매체에 저장하고, 1개는 오프라인(외부 위치)에 보관합니다. 백업은 네트워크에서 분리된 외장 하드나 클라우드(버전 관리 지원)에 저장하며, 자동 백업을 설정하되 복구 테스트도 정기적으로 수행해야 합니다.

운영체제 및 소프트웨어 업데이트

Windows Update를 활성화하여 자동 업데이트를 설정하고, 사용하는 모든 소프트웨어(브라우저, PDF 뷰어, Office 등)를 최신 버전으로 유지합니다. 보안 패치는 발표 즉시 적용하는 것이 중요하며, 지원이 종료된 운영체제(Windows 7 등)는 최신 버전으로 교체해야 합니다.

강력한 보안 솔루션 사용

신뢰할 수 있는 백신 소프트웨어를 설치하고 실시간 보호 기능을 활성화합니다. EDR(Endpoint Detection and Response) 솔루션을 도입하면 더욱 효과적입니다. 방화벽을 활성화하고, 안티 랜섬웨어 전용 솔루션도 고려할 수 있습니다.

이메일 및 링크 주의

발신자가 불명확하거나 예상하지 못한 이메일의 첨부파일은 절대 열지 않습니다. 링크를 클릭하기 전에 URL을 확인하고, 의심스러운 경우 발신자에게 별도로 연락하여 확인합니다. 이메일 보안 게이트웨이를 구축하면 피싱 메일을 자동으로 차단할 수 있습니다.

매크로 비활성화

Microsoft Office 문서의 매크로는 기본적으로 비활성화하고, 반드시 필요한 경우에만 신뢰할 수 있는 출처의 파일에서만 활성화합니다. Office 보안 센터에서 "모든 매크로 포함 안 함" 설정을 권장합니다.

RDP 보안 강화

RDP를 사용하지 않는다면 완전히 비활성화합니다. 사용이 필요한 경우 복잡한 비밀번호를 설정하고, 다중 인증(MFA)을 반드시 적용합니다. VPN을 통해서만 RDP 접근을 허용하고, 기본 포트(3389)를 변경하며, 로그인 실패 횟수를 제한합니다.

권한 최소화 원칙

일상 업무에는 일반 사용자 계정을 사용하고, 관리자 권한은 필요한 경우에만 사용합니다. 각 사용자에게 업무에 필요한 최소한의 권한만 부여하고, 공유 폴더의 쓰기 권한을 제한합니다.

네트워크 세분화

네트워크를 여러 세그먼트로 분리하여 랜섬웨어가 전체 네트워크로 확산되는 것을 방지합니다. 중요한 서버와 일반 사용자 네트워크를 분리하고, 방화벽 규칙을 통해 불필요한 통신을 차단합니다.

직원 교육 및 인식 제고

모든 직원에게 정기적으로 보안 교육을 실시합니다. 피싱 메일 식별법, 안전한 인터넷 사용법, 의심스러운 활동 신고 절차 등을 교육합니다. 모의 피싱 훈련을 통해 실제 상황에 대비합니다.

파일 확장자 표시 활성화

Windows 탐색기에서 파일 확장자를 표시하도록 설정하여, document.pdf.exe처럼 확장자를 위장한 악성 파일을 쉽게 식별할 수 있습니다. 이중 확장자를 가진 파일은 매우 의심스럽습니다.

클라우드 서비스 버전 관리

OneDrive, Google Drive 등 클라우드 서비스를 사용하는 경우, 파일 버전 관리 기능을 활성화합니다. 랜섬웨어에 감염되더라도 이전 버전으로 복원할 수 있습니다. 대부분의 클라우드 서비스는 30일 이상의 버전 이력을 제공합니다.

침입 탐지 시스템(IDS/IPS)

네트워크 트래픽을 모니터링하여 비정상적인 활동을 탐지하고 차단하는 침입 탐지/방지 시스템을 구축합니다. 랜섬웨어의 C&C(Command and Control) 서버 통신을 차단할 수 있습니다.

백업만으로는 충분하지 않습니다! 최근 랜섬웨어는 백업 파일도 함께 암호화하거나 삭제합니다. 따라서 백업은 반드시 네트워크에서 분리된 상태로 보관해야 하며, immutable(변경 불가능) 백업 기능을 지원하는 솔루션을 사용하는 것이 좋습니다. 또한 데이터 유출을 막기 위한 DLP(Data Loss Prevention) 솔루션도 함께 고려해야 합니다.

정부 공식 문서 및 대응 체계

한국 정부는 랜섬웨어 위협에 대응하기 위해 다양한 공식 문서와 지원 체계를 운영하고 있습니다.

6.1 과학기술정보통신부 및 KISA(한국인터넷진흥원)

주요 공식 문서 및 자료

랜섬웨어 대응 가이드 : KISA에서 발간하는 공식 대응 가이드로, 예방부터 대응, 복구까지의 전 과정을 설명합니다. (www.kisa.or.kr에서 다운로드 가능)
보안공지 및 주의보 : 새로운 랜섬웨어 변종이 발견되거나 대규모 공격이 예상될 때 발행되는 보안 경보입니다.
침해사고 대응 지원 : 랜섬웨어 감염 시 무료 상담 및 기술 지원을 제공합니다. (국번 없이 118)
보안취약점 정보 : 운영체제 및 주요 소프트웨어의 보안 취약점 정보와 패치 안내를 제공합니다.
중소기업 정보보호 컨설팅 : 중소기업을 대상으로 무료 보안 컨설팅 및 취약점 점검 서비스를 제공합니다.

6.2 국가사이버안전센터 (NCSC)

국가 주요기반시설을 대상으로 한 랜섬웨어 공격에 대응하기 위해 국가사이버안전센터가 운영됩니다.

국가 사이버 위협 경보 : 국가 안보에 영향을 미칠 수 있는 대규모 랜섬웨어 공격 시 경보 발령
주요기반시설 보호 : 전력, 통신, 금융 등 국가 주요기반시설에 대한 사이버 보안 강화
국제 협력 : Interpol, FBI 등 해외 기관과의 공조를 통한 글로벌 랜섬웨어 조직 추적

6.3 금융보안원 (FSS)

금융권을 대상으로 한 랜섬웨어 공격에 대비하여 금융보안원은 다음과 같은 지원을 제공합니다.

금융권 랜섬웨어 대응 매뉴얼 : 금융기관 특성에 맞춘 상세한 대응 절차
금융 ISAC : 금융권 보안 위협 정보 공유 및 협력 체계
모의훈련 지원 : 랜섬웨어 공격 대응 모의훈련 시나리오 및 지원

6.4 경찰청 사이버안전국

랜섬웨어는 범죄 행위이므로, 감염 시 경찰에 신고할 수 있습니다.

사이버범죄 신고 : 경찰청 사이버안전국 (ecrm.police.go.kr) 또는 국번 없이 112로 신고 가능
사이버수사대 : 전국 시도경찰청에 사이버수사대가 설치되어 있으며, 랜섬웨어 범죄 수사 및 피해자 지원을 담당합니다.
불법 거래 추적 : 암호화폐를 통한 몸값 거래 추적 및 범인 검거

6.5 중소벤처기업부 - 중소기업 지원

중소기업을 대상으로 랜섬웨어 예방 및 복구 지원 사업을 운영합니다.

사이버보안 컨설팅 지원 : 중소기업 대상 무료 또는 저렴한 비용으로 보안 컨설팅 제공
보안 솔루션 지원 : 백신, 방화벽 등 보안 솔루션 구매 비용 일부 지원
교육 프로그램 : 중소기업 임직원 대상 사이버 보안 교육

6.6 주요 정부 문서 및 법령

랜섬웨어 복구 방법

안타깝게도, 말씀하신 대로 랜섬웨어 감염 후 완벽한 복구는 매우 어렵습니다. 현대 랜섬웨어가 사용하는 암호화 알고리즘(AES-256, RSA-2048 등)은 복호화 키 없이는 사실상 해독이 불가능합니다. 그러나 상황에 따라 시도해 볼 수 있는 방법들이 있습니다.

7.1 즉각적인 조치

1. 즉시 네트워크에서 격리

감염된 컴퓨터를 즉시 네트워크에서 분리합니다. 유선 LAN 케이블을 뽑고, Wi-Fi를 끕니다. 이는 랜섬웨어가 네트워크의 다른 시스템으로 확산되는 것을 막기 위함입니다. USB나 외장 하드 등 연결된 모든 저장장치도 분리합니다.

2. 컴퓨터 종료 여부 판단

일부 랜섬웨어는 메모리에 복호화 키의 일부를 남겨둘 수 있습니다. 컴퓨터를 종료하면 이 정보가 사라질 수 있으므로, 전문가의 지시가 있을 때까지 전원을 유지합니다. 다만, 암호화가 진행 중이라면 즉시 종료하는 것이 피해를 줄일 수 있습니다.

3. 증거 보존

몸값 요구 메시지, 암호화된 파일의 확장자, 범인이 남긴 연락처 등을 사진으로 촬영하거나 별도로 기록합니다. 이는 경찰 수사와 복구에 도움이 됩니다.

4. 전문가에게 연락

KISA(118), 경찰청, 또는 전문 보안업체에 즉시 연락하여 지원을 요청합니다. 혼자서 복구를 시도하다가 상황을 악화시킬 수 있습니다.

7.2 복구 시도 방법

방법 1 : 무료 복호화 도구 사용

일부 랜섬웨어의 경우, 보안 업체들이 복호화 도구를 개발하여 무료로 제공하고 있습니다.

No More Ransom Project : Europol, 네덜란드 경찰, Kaspersky, McAfee 등이 운영하는 프로젝트로, 다양한 랜섬웨어의 무료 복호화 도구를 제공합니다. (www.nomoreransom.org)
Avast Free Ransomware Decryption Tools : Avast에서 제공하는 여러 랜섬웨어 복호화 도구
Kaspersky Ransomware Decryptor : Kaspersky에서 제공하는 복호화 도구

복호화 도구를 사용하기 전에 반드시 랜섬웨어의 정확한 이름과 버전을 확인해야 합니다. 잘못된 도구를 사용하면 데이터가 영구적으로 손상될 수 있습니다. No More Ransom 웹사이트에는 암호화된 파일을 업로드하면 랜섬웨어 종류를 식별해 주는 기능이 있습니다.

방법 2 : 백업에서 복원

사전에 백업을 해두었다면, 이것이 가장 확실한 복구 방법입니다.

백업 무결성 확인 : 복원하기 전에 백업 파일이 암호화되지 않았는지 확인합니다.
완전 포맷 후 복원 : 감염된 시스템을 완전히 포맷하고 운영체제를 재설치한 후 백업을 복원합니다.
클라우드 버전 복구 : OneDrive, Google Drive 등을 사용했다면 이전 버전으로 복원할 수 있습니다.

방법 3 : 섀도우 카피 복원

Windows의 시스템 복원 기능이 활성화되어 있었다면, 섀도우 카피(Volume Shadow Copy)를 통해 일부 파일을 복구할 수 있습니다.

ShadowExplorer : 섀도우 카피를 탐색하고 복원할 수 있는 무료 도구
한계 : 많은 최신 랜섬웨어는 섀도우 카피도 삭제하므로, 성공 가능성은 낮습니다.

방법 4 : 데이터 복구 소프트웨어 사용

암호화 과정에서 원본 파일이 완전히 삭제되지 않았을 가능성이 있다면, 데이터 복구 소프트웨어를 시도해 볼 수 있습니다.

Recuva, PhotoRec, TestDisk 등의 복구 도구
주의사항 : 복구 작업은 별도의 드라이브에 저장해야 하며, 원본 드라이브에 추가 작업을 하면 복구 가능성이 낮아집니다.

7.3 몸값 지불에 대한 고려사항

몸값 지불은 권장되지 않습니다. 미국 FBI, 한국 경찰청, 대부분의 보안 전문가들은 다음과 같은 이유로 몸값 지불을 권장하지 않습니다.

복호화 보장 없음 : 돈을 지불해도 복호화 키를 받지 못하거나, 받더라도 제대로 작동하지 않는 경우가 약 40%에 달합니다.
재공격 위험 : 돈을 지불한 피해자는 다시 공격받을 확률이 높습니다. 공격자 입장에서는 "돈을 지불할 사람"으로 표시되기 때문입니다.
범죄 조직 자금 지원 : 몸값은 범죄 조직의 자금원이 되어 더 많은 공격을 야기합니다.
법적 문제 : 일부 국가에서는 테러 조직으로 지정된 랜섬웨어 그룹에 돈을 지불하는 것 자체가 불법일 수 있습니다.

다만, 기업의 경우 사업 연속성, 고객 데이터 보호, 법적 책임 등을 고려하여 불가피하게 몸값 지불을 선택하는 경우도 있습니다. 이런 경우에도 반드시 전문 협상가와 법률 자문을 받아야 합니다.

7.4 감염 후 조치

복구 여부와 관계없이, 랜섬웨어 감염 후에는 다음 조치를 취해야 합니다.

전체 시스템 재구축 : 운영체제를 완전히 재설치하고, 모든 소프트웨어를 재설치합니다. 랜섬웨어가 백도어를 설치했을 가능성이 있기 때문입니다.
비밀번호 변경 : 모든 계정의 비밀번호를 변경합니다. 특히 이메일, 은행, 주요 서비스 계정은 우선적으로 변경합니다.
보안 강화 : 앞서 설명한 예방 조치들을 모두 적용합니다.
사고 보고 : 조직 내부 보안팀, 경영진에 보고하고, 필요시 고객이나 이해관계자에게 통지합니다.
사후 분석 : 어떻게 감염되었는지 철저히 분석하여 재발을 방지합니다.

마무리

랜섬웨어는 현대 사이버 보안에서 가장 심각한 위협 중 하나입니다. 개인의 소중한 추억부터 기업의 핵심 자산까지 순식간에 인질로 만들 수 있는 무서운 공격입니다.

하지만 이 글에서 설명한 예방 조치들을 철저히 실천한다면, 랜섬웨어로부터 안전하게 시스템과 데이터를 보호할 수 있습니다. 특히 정기적인 백업, 소프트웨어 업데이트, 보안 의식 제고는 반드시 실천해야 할 핵심 요소입니다.

만약 불행히도 랜섬웨어에 감염되었다면, 당황하지 말고 즉시 전문가의 도움을 받으시기 바랍니다. 혼자서 해결하려다 상황을 악화시킬 수 있습니다.

기억하세요. 예방이 최선의 방어이며, 백업이 최후의 보루입니다. 오늘부터 바로 실천하여 여러분의 소중한 데이터를 지키시기 바랍니다.

도움이 필요하시면 언제든지 연락하세요

KISA 침해사고 신고 : 국번 없이 118
경찰청 사이버범죄 신고 : 국번 없이 112
KISA 홈페이지 : www.kisa.or.kr

태그

랜섬웨어 사이버보안 정보보안 악성코드 데이터보호 백업 피싱 보안가이드 KISA 사이버범죄

저작자표시 비영리 변경금지 (새창열림)

커피 한 잔의 힘

이 글이 도움이 되셨다면, 커피 한 잔으로 응원해주세요!
여러분의 작은 후원이 더 좋은 콘텐츠를 만드는 큰 힘이 됩니다.

“ 매주 목요일마다 당신이 항상 하던대로 신발끈을 묶으면 신발이 폭발한다고 생각해보라.
컴퓨터를 사용할 때는 이런 일이 항상 일어나는데도 아무도 불평할 생각을 안 한다. ”

- Jef Raskin
맥의 아버지 - 애플컴퓨터의 매킨토시 프로젝트를 주도

현재글랜섬웨어(Ransomware)에 대해서 알아보기