"파일을 인질로 잡고 몸값을 요구한다" — 이것이 랜섬웨어입니다. 동작 원리와 몸값을 내지 않는 법을 설명합니다(공격 절차 없음).
동작 원리: 단순한 바이러스가 아니라 비즈니스 모델
전형적인 랜섬웨어는 기기나 서버에서 닿을 수 있는 모든 파일을 암호화하고 "복호화 키를 원하면 지불하라"는 메모를 남깁니다. 그러나 오늘날 위협의 진짜 본질은 기술보다 돈을 버는 방식에 있습니다.
이중 갈취에서는 공격자가 암호화 전에 데이터를 빼냅니다. 그래서 피해자가 자체 백업으로 복원해도 두 번째 협박이 남습니다. "지불하라, 아니면 훔친 것을 공개하겠다"입니다. 이 변화 때문에 "백업이 있으니 괜찮다"가 더 이상 그 자체로 성립하지 않습니다. 게다가 **RaaS(서비스형 랜섬웨어)**는 작업을 분리해 — 도구를 만드는 자와 공격을 실행하는 자가 이제 다른 사람입니다 — 진입 장벽을 크게 낮췄습니다.
주요 진입 경로 (문을 닫아라)
랜섬웨어는 마법처럼 나타나지 않습니다. 예측 가능한 일련의 문을 통해 들어옵니다. 그 문을 닫는 것이 첫 번째 방어선입니다.
1. 피싱
이메일 첨부 / 링크를 통해. 가장 흔한 문. 방어 = MFA, 메일 필터링, 교육
2. 노출된 VPN/RDP
약하거나 MFA 없는 원격 접속. 방어 = MFA 의무화, 노출 줄이기
3. 패치되지 않은 결함
인터넷 노출 소프트웨어의 알려진 구멍. 방어 = 즉시 패치
저희가 다룬 실제 사례인 대규모 MOVEit 침해(Cl0p)는 인터넷 노출 소프트웨어의 패치되지 않은 취약점을 악용해, 수정이 나오기 전에 대량의 데이터를 훔친 이중 갈취 사례였습니다. "이메일 첨부"만이 랜섬웨어의 유일한 침투 경로가 아님을 일깨워 주는 좋은 사례입니다.
방어: 몸값 없는 복구를 가능하게 하라
오프라인 / 불변 백업 유지 (가장 중요)
복구를 좌우하는 것은 백업입니다. 그러나 항상 온라인이고 쓰기 가능한 백업은 나머지와 함께 암호화될 수 있으니, 최소 하나는 오프라인이나 불변(변조 불가) 사본으로 두고, 정기적으로 복원 테스트를 실행해 실제로 데이터를 되찾을 수 있는지 확인하세요. 백업과 복구의 기본(3-2-1)을 참고하세요.
진입을 막기: MFA와 패치
가장 큰 문 — 피싱에 취약한 로그인과 노출된 원격 접속 — 에 다단계 인증(MFA) 을 의무화하고, 인터넷 노출 대상의 알려진 취약점을 즉시 패치하세요. 이것만으로도 침입의 큰 비중을 막습니다(→ MFA 고르기).
피해 범위 한정: 최소 권한과 분할
한 번의 침해가 회사 전체를 암호화하지 않도록, 권한을 필요한 최소한으로 유지하고 네트워크를 분할하세요. 침해된 단일 기기 한 대가 어디로든 퍼질 수 없도록 설계하면 피해가 국소화됩니다.
탐지와 '당한 후' 계획 갖추기
문을 닫아도 예방이 완벽할 수는 없습니다. 그러니 이상을 조기에 탐지하고, 누가 무엇을 할지(격리, 통지, 복원의 순서)를 사고 대응 계획으로 미리 정해 두세요. 누군가 당황해 지불하기 전에 봉쇄하고 복원하는 능력을 갖추세요.
본 사이트의 견해: 지불은 최후의 수단조차 아니다 — 핵심은 준비다
지불 여부에 대한 저희 입장은 분명합니다. 지불하지 않을 수 있는 능력을 미리 갖추세요. 지불해도 복호화가 보장되지 않고, 이중 갈취에서는 유출도 멈추지 않으며, 범죄에 자금을 대면서 당신을 다시 표적이 되는 지불자로 표시합니다. 그러니 진짜 작업은 사고 대응이 아니라 준비입니다. 복원할 수 있는 오프라인 백업과 MFA와 패치로 닫힌 진입 — 둘 다 갖추면 랜섬웨어는 "재앙적 사건"에서 "성가시지만 복구 가능한 사고"로 떨어집니다.
맹점: "백업이 있다"가 더 이상 "안전하다"를 뜻하지 않는다
예전에는 백업이 랜섬웨어를 무해하게 만들었습니다. 그러나 이중 갈취가 표준이 된 지금, 복원할 수 있다는 것은 데이터 탈취를 막는 것과는 다른 문제입니다. 공격자는 암호화 전에 데이터를 빼내고 "지불하라, 아니면 공개하겠다"고 요구합니다. 그래서 방어는 두 겹입니다 — 복원할 수 있을 뿐(백업) 아니라 들어오지도 나가지도 못하게(진입점 방어). 현대 랜섬웨어 방어의 출발점은 "하지만 우리에겐 백업이 있다"에서 멈추기를 거부하는 것입니다.
다음으로 읽기
- 학습: 백업과 복구의 기본 (몸값 없이 복구하는 토대 — 3-2-1 규칙)
- 학습: 올바르게 MFA 고르기 (가장 큰 진입을 닫기)
- 용어집: 피싱이란 (최대 진입 경로 자체를 차단)
- 사례: 대규모 MOVEit 침해(Cl0p) (패치되지 않은 결함을 통한 이중 갈취)
- 용어집: C2(명령 제어)란 (감염 후 공격자가 운용하는 채널)
FAQ
Q랜섬웨어에 당하면 몸값을 내야 하나요?
내지 않는 쪽으로 강하게 기울이세요. 지불해도 파일을 되찾는다는 보장이 없고, 훔친 데이터가 유출되지 않는다는 보장도 없습니다. 또한 범죄 집단에 자금을 대고, 당신을 '지불하는 자'로 표시해 반복 표적으로 만듭니다(제재 대상 집단에 지불하면 법적 위험도 따를 수 있습니다). 많은 당국이 지불을 권장하지 않습니다. 바로 그래서 준비 — 몸값 없이 복원할 수 있는 오프라인 백업 — 가 가장 중요합니다.
Q랜섬웨어는 어떻게 침투하나요?
주요 경로는 셋입니다. (1) 피싱 이메일의 첨부나 링크 — 가장 흔한 진입. (2) 약하거나 다단계 인증(MFA)이 없는 인터넷 노출 원격 접속(VPN/RDP). (3) 인터넷에 노출된 소프트웨어의 패치되지 않은 알려진 취약점. 요컨대 사람의 행동, 노출된 진입점, 누락된 패치이며, 모두 방어로 막을 수 있습니다.
Q백업만 있으면 충분한가요?
백업은 가장 중요한 통제이지만 조건이 있습니다. 항상 온라인이고 쓰기 가능한 백업은 다른 모든 것과 함께 암호화될 수 있으니, 최소 하나는 오프라인이나 불변(변조 불가) 사본으로 두고 정기적으로 복원 테스트를 하세요. 또한 현대의 공격은 암호화 전에 데이터를 훔치므로(이중 갈취), 백업은 '복구'를 가능하게 해도 유출을 막지는 못합니다. 공격자가 애초에 들어와 데이터를 빼내지 못하도록 진입점 방어도 필요합니다.