랜섬웨어 감염 후 복구 절차: 백업 확인부터 시스템 복원까지

랜섬웨어에 감염되면 가장 먼저 드는 생각은 “빨리 파일을 되살려야 한다”입니다. 하지만 감염 직후에 아무 준비 없이 복구를 시작하면 백업까지 손상되거나, 감염 원인이 남아 있는 상태에서 다시 암호화되는 문제가 생길 수 있습니다.

랜섬웨어 복구는 단순히 백업 파일을 다시 덮어쓰는 작업이 아닙니다. 감염 확산을 막고, 피해 범위를 확인하고, 안전한 백업 시점을 찾고, 깨끗한 환경에서 복원한 뒤, 재감염을 막는 순서로 진행해야 합니다.

이번 글에서는 랜섬웨어 감염 후 복구 절차를 개인 사용자와 소규모 회사 기준으로 정리해보겠습니다. 특히 백업 확인부터 시스템 복원까지 어떤 순서로 진행해야 하는지, 복구 전에 무엇을 확인해야 하는지, 절대 먼저 하면 안 되는 행동은 무엇인지 중심으로 설명하겠습니다.

랜섬웨어의 개념과 예방 수칙이 먼저 궁금하다면 기존 글인 랜섬웨어의 이해와 대응 전략을 함께 참고하면 좋습니다.

랜섬웨어 감염 후 가장 먼저 해야 할 일

랜섬웨어가 의심될 때는 복구보다 먼저 확산 차단이 우선입니다. 감염된 PC나 서버가 계속 네트워크에 연결되어 있으면 공유 폴더, NAS, 백업 저장소, 다른 PC까지 피해가 번질 수 있습니다.

감염이 의심되는 대표적인 상황은 다음과 같습니다.

• 갑자기 문서, 사진, 엑셀 파일이 열리지 않음
• 파일 확장자가 낯선 형태로 바뀜
• 폴더마다 몸값 요구 문서가 생성됨
• 바탕화면에 복구 안내 또는 결제 안내 메시지가 표시됨
• 공유 폴더 파일이 빠르게 암호화됨
• 백신 또는 EDR에서 랜섬웨어 탐지 알림이 발생함
• NAS나 서버의 파일 수정 시간이 비정상적으로 대량 변경됨

이런 상황이 보이면 다음 순서로 조치하는 것이 좋습니다.

1. 감염 의심 장비의 네트워크 연결을 끊습니다.
2. 외장하드, USB, 네트워크 드라이브 연결을 해제합니다.
3. NAS나 파일 서버의 공유 권한을 일시 중단합니다.
4. 감염 화면, 랜섬노트, 파일 확장자, 발생 시간을 기록합니다.
5. 무작정 포맷하거나 재설치하지 않습니다.
6. 회사 환경이라면 담당자, 관리자, 보안 업체 또는 침해사고 대응 창구에 즉시 알립니다.

중요한 점은 “빨리 복구”보다 “더 이상 번지지 않게 멈추기”입니다. 복구는 피해 범위와 안전한 백업 시점을 확인한 뒤 진행해야 합니다.

랜섬웨어 복구 전체 절차 요약

랜섬웨어 복구는 아래 순서로 진행하는 것이 안전합니다.

단계	해야 할 일	핵심 목적
1단계	감염 장비 격리	랜섬웨어가 다른 PC, 서버, NAS, 백업 저장소로 퍼지는 것을 막음
2단계	증거와 현황 기록	감염 시간, 파일 확장자, 랜섬노트, 피해 범위를 파악함
3단계	백업 저장소 보호	남아 있는 백업이 삭제되거나 암호화되지 않도록 분리함
4단계	피해 범위 확인	감염된 장비, 계정, 공유 폴더, 서버, 클라우드 동기화 범위를 확인함
5단계	안전한 백업 시점 선택	감염 이전의 정상 백업을 찾음
6단계	깨끗한 환경 준비	악성코드가 제거된 새 환경 또는 격리 환경을 준비함
7단계	중요 시스템부터 복원	업무 영향이 큰 데이터와 서비스를 우선 복구함
8단계	정상 작동 확인	파일 열림, 앱 실행, 계정 권한, 로그, 보안 상태를 확인함
9단계	재감염 방지 조치	패치, 비밀번호 변경, 권한 정리, 백업 구조 개선을 진행함

복구 목표 시간과 데이터 손실 허용 범위가 정해져 있다면 복구 우선순위를 잡기 쉽습니다. 이 기준은 RTO와 RPO란? 글에서 자세히 정리했습니다.

1단계. 감염 장비를 네트워크에서 분리하기

랜섬웨어 감염이 의심되면 가장 먼저 네트워크 연결을 끊어야 합니다. 개인 PC라면 랜선을 뽑고 와이파이를 끄면 됩니다. 회사 장비라면 네트워크 관리자나 보안 담당자에게 알리고, 감염된 장비가 더 이상 공유 폴더와 서버에 접근하지 못하도록 격리해야 합니다.

다만 서버나 업무 시스템은 무작정 전원을 끄면 로그가 사라지거나 복구가 더 어려워질 수 있습니다. 중요한 서버라면 전원 차단보다 네트워크 격리, 계정 비활성화, 공유 권한 차단처럼 상황에 맞는 조치가 필요합니다.

개인 사용자 기준으로는 다음을 먼저 진행하면 됩니다.

• 랜선 분리
• 와이파이 끄기
• 블루투스 파일 공유 기능 중지
• 외장하드와 USB 분리
• 클라우드 동기화 프로그램 일시 정지
• 공유 폴더 연결 해제

소규모 회사라면 다음 항목도 함께 확인해야 합니다.

• 감염 PC의 사내망 접속 차단
• NAS 공유 폴더 쓰기 권한 임시 중지
• 파일 서버 접근 권한 일시 제한
• 백업 서버와 백업 콘솔 접근 차단
• VPN 계정과 원격 접속 계정 점검
• 관리자 계정의 최근 로그인 기록 확인

NAS를 사용 중이라면 NAS 백업 전략 정리 글에서 설명한 것처럼 관리자 계정과 일반 사용자 계정이 분리되어 있는지, 스냅샷과 외부 백업이 남아 있는지 확인해야 합니다.

2단계. 감염 증거와 발생 시간을 기록하기

랜섬웨어 복구에서 발생 시간은 매우 중요합니다. 어떤 시점부터 감염이 시작되었는지 알아야 안전한 백업 시점을 고를 수 있기 때문입니다. 예를 들어 오전 10시에 암호화가 시작되었다면 오전 9시 이전 백업이나 전날 백업을 우선 확인해야 합니다.

다음 정보를 기록해두면 복구와 원인 분석에 도움이 됩니다.

• 처음 이상 증상을 발견한 시간
• 처음 암호화된 파일을 확인한 시간
• 변경된 파일 확장자
• 랜섬노트 파일명과 내용
• 바탕화면 또는 팝업 메시지 화면
• 감염된 폴더 경로
• 감염된 PC 또는 서버 이름
• 최근 접속한 원격 접속 계정
• 최근 설치한 프로그램이나 실행한 첨부파일
• 백신, EDR, 방화벽, NAS 로그

이 정보는 복구 시점을 고르는 데도 필요하고, 같은 문제가 재발하지 않게 막는 데도 필요합니다. 랜섬노트나 감염 파일을 바로 삭제하지 말고, 가능하면 별도 저장매체나 캡처로 보관하는 것이 좋습니다.

다만 암호화된 원본 파일에 복구 프로그램을 바로 실행하는 것은 위험할 수 있습니다. 복호화 도구를 시도해야 한다면 반드시 복사본을 만들어 테스트하는 것이 안전합니다.

3단계. 남아 있는 백업부터 보호하기

랜섬웨어 감염 후에는 원본 데이터보다 남아 있는 백업을 먼저 지켜야 합니다. 백업이 살아 있으면 복구 가능성이 있지만, 백업까지 암호화되거나 삭제되면 선택지가 급격히 줄어듭니다.

백업 보호를 위해 아래 항목을 확인하세요.

• 외장하드가 연결되어 있다면 즉시 분리
• NAS 백업 폴더의 쓰기 권한 임시 차단
• 백업 서버 네트워크 접근 제한
• 백업 관리자 계정 비밀번호 변경
• 클라우드 백업 계정의 로그인 기록 확인
• 삭제 보호, 버전 관리, 이뮤터블 보관 상태 확인
• 자동 동기화로 암호화 파일이 덮어써지지 않도록 중지

특히 클라우드 동기화 폴더를 백업처럼 쓰는 경우 주의해야 합니다. 동기화는 원본의 변경을 그대로 따라가기 때문에, 암호화된 파일이 클라우드로 올라가 기존 정상 파일을 덮어쓸 수 있습니다. 가능하면 즉시 동기화를 중지하고 버전 기록이나 휴지통 복구 가능 여부를 확인해야 합니다.

랜섬웨어 대비 백업 구조는 3-2-1 백업 원칙과 에어갭 백업을 함께 적용하는 것이 좋습니다. 삭제와 변경을 막는 방식은 변경 불가 백업(Immutable Backup) 구축 가이드에서 따로 정리했습니다.

4단계. 피해 범위를 확인하기

백업 복원을 시작하기 전에 어디까지 감염되었는지 확인해야 합니다. 감염 범위를 모르고 일부만 복구하면, 남아 있는 감염 장비가 다시 파일을 암호화할 수 있습니다.

개인 사용자라면 다음을 확인합니다.

• 내 문서, 바탕화면, 다운로드 폴더 감염 여부
• 사진과 영상 폴더 감염 여부
• 외장하드와 USB 감염 여부
• 클라우드 동기화 폴더 감염 여부
• 이메일 첨부파일이나 최근 다운로드 파일
• 브라우저 저장 비밀번호와 계정 보안 상태

소규모 회사라면 다음을 추가로 확인해야 합니다.

• 공유 폴더와 파일 서버 감염 여부
• NAS 스냅샷과 백업본 손상 여부
• 업무 서버, 데이터베이스, 회계 프로그램 감염 여부
• 원격 접속 계정, VPN 계정, 관리자 계정 로그인 기록
• 도메인 계정 또는 Active Directory 계정 이상 여부
• 백업 서버, 백업 콘솔, 클라우드 백업 계정 접근 기록
• 보안 장비, 방화벽, EDR, 백신 로그

피해 범위를 확인할 때는 “파일이 암호화된 장비”만 보면 안 됩니다. 공격자는 암호화 전에 계정을 탈취하거나 백업을 삭제하거나 보안 로그를 지우려고 할 수 있습니다. 따라서 계정, 권한, 원격 접속, 백업 저장소까지 함께 확인하는 것이 좋습니다.

5단계. 안전한 백업 시점 찾기

복구에서 가장 중요한 단계는 안전한 백업 시점을 찾는 것입니다. 단순히 가장 최신 백업을 복구하면 안 됩니다. 최신 백업 안에 이미 랜섬웨어 파일이나 감염된 설정이 들어 있을 수 있기 때문입니다.

안전한 백업 시점을 찾을 때는 다음 순서로 확인합니다.

1. 처음 감염이 의심된 시간을 정리합니다.
2. 그 시간 이전의 백업 목록을 확인합니다.
3. 백업 파일 생성 시간과 수정 시간을 확인합니다.
4. 백업본 안에 랜섬노트나 이상한 확장자 파일이 있는지 확인합니다.
5. 백업본을 격리된 환경에 먼저 복원해봅니다.
6. 백신 또는 EDR로 복원 데이터를 검사합니다.
7. 일부 파일을 열어 정상 여부를 확인합니다.

백업 방식에 따라 확인해야 할 기준도 조금씩 다릅니다.

백업 방식	확인할 점	주의사항
풀백업	전체 데이터가 감염 전 시점인지 확인	복구 시간은 길 수 있지만 기준점으로 사용하기 좋음
증분백업	어느 증분 구간부터 감염 파일이 포함되었는지 확인	중간 증분 백업이 손상되면 복구가 어려울 수 있음
차등백업	마지막 정상 풀백업과 정상 차등백업 조합 확인	감염 이후 차등백업은 제외해야 함
스냅샷	암호화 이전 시점의 스냅샷인지 확인	스냅샷 자체가 삭제되었거나 같은 장비 안에 있으면 위험할 수 있음
클라우드 백업	버전 기록, 삭제 보호, 백업 보존 기간 확인	동기화와 백업을 구분해야 함
에어갭 백업	마지막 분리 보관 시점과 파일 정상 여부 확인	복구 전 검사와 테스트 복원이 필요함

풀백업, 증분백업, 차등백업의 차이가 헷갈린다면 풀백업과 증분백업 글을 먼저 참고하면 좋습니다.

6단계. 복구 전 깨끗한 환경 만들기

백업이 정상이라고 바로 기존 장비에 복원하면 안 됩니다. 기존 장비 안에 랜섬웨어 실행 파일, 계정 탈취 도구, 원격 접속 설정, 악성 예약 작업이 남아 있으면 복구 후 다시 감염될 수 있습니다.

복구 전에는 다음 중 하나의 깨끗한 환경을 준비하는 것이 좋습니다.

• 새 PC 또는 새 서버
• 초기화 후 최신 패치를 적용한 장비
• 격리된 테스트 네트워크
• 새로 만든 가상머신
• 보안 검사를 완료한 복구 전용 환경

특히 회사 서버를 복원할 때는 운영망에 바로 붙이지 말고 격리된 네트워크에서 먼저 복원해보는 것이 좋습니다. 복구한 데이터가 정상인지, 감염 파일이 포함되어 있지 않은지, 서비스가 제대로 시작되는지 확인한 뒤 운영망으로 전환해야 합니다.

스냅샷으로 빠르게 되돌릴 수 있는 환경도 있지만, 스냅샷만으로는 완전한 백업을 대체하기 어렵습니다. 이 부분은 스냅샷은 백업을 대체할 수 있을까? 글에서 자세히 정리했습니다.

7단계. 중요한 시스템부터 복구하기

랜섬웨어 복구는 모든 것을 한 번에 복원하려고 하면 오래 걸리고 혼란스러울 수 있습니다. 먼저 가장 중요한 데이터와 시스템을 정하고 순서대로 복구하는 것이 좋습니다.

개인 사용자라면 복구 우선순위는 보통 다음과 같습니다.

1. 신분증, 계약서, 세금 자료, 업무 문서
2. 사진, 영상, 가족 자료
3. 블로그 원고와 이미지 파일
4. 개인 프로젝트 자료
5. 설치 프로그램과 설정 파일

소규모 회사라면 복구 우선순위를 더 명확히 정해야 합니다.

1. 회계, 결제, 주문, 고객 응대에 필요한 시스템
2. 고객 정보와 계약서
3. 업무 공유 폴더와 프로젝트 자료
4. 데이터베이스와 업무 프로그램
5. 메일, 인증서, 그룹웨어 자료
6. 개발 소스, 디자인 원본, 서버 설정 파일

이때 RTO와 RPO 기준을 적용하면 복구 순서를 정하기 쉽습니다. 예를 들어 하루만 멈춰도 매출 피해가 큰 시스템은 RTO가 짧아야 하고, 하루치 데이터 손실도 허용하기 어려운 시스템은 RPO가 짧아야 합니다.

8단계. 복구한 데이터가 정상인지 확인하기

복구가 끝났다고 바로 완료 처리하면 안 됩니다. 실제 파일이 열리는지, 프로그램이 실행되는지, 데이터가 누락되지 않았는지 확인해야 합니다.

복구 후 확인해야 할 항목은 다음과 같습니다.

• 문서, 사진, 압축 파일이 정상적으로 열리는지 확인
• 파일 개수와 폴더 구조가 맞는지 확인
• 업무 프로그램이 정상 실행되는지 확인
• 데이터베이스 접속과 조회가 가능한지 확인
• 사용자 계정과 권한이 정상인지 확인
• 백신과 EDR 검사에서 이상이 없는지 확인
• 네트워크 연결 후 비정상 트래픽이 없는지 확인
• 백업 로그와 복구 로그를 기록

복구 확인은 담당자 한 명이 감으로 끝내기보다 체크리스트로 남기는 것이 좋습니다. 실제 복구 테스트 절차는 백업 복구 테스트 체크리스트 글에서 더 자세히 볼 수 있습니다.

9단계. 복구 후 재감염 방지 조치하기

랜섬웨어 복구가 끝났다면 반드시 재감염 방지 조치를 해야 합니다. 감염 원인을 해결하지 않으면 며칠 뒤 같은 문제가 반복될 수 있습니다.

복구 후에는 아래 항목을 점검하세요.

• 운영체제와 주요 프로그램 최신 패치 적용
• 백신, EDR, 보안 프로그램 최신 업데이트
• 관리자 계정 비밀번호 변경
• VPN, 원격 데스크톱, NAS 관리자 계정 점검
• 다중 인증 적용
• 불필요한 관리자 권한 제거
• 공유 폴더 쓰기 권한 최소화
• 백업 관리자 계정과 일반 업무 계정 분리
• 방화벽과 원격 접속 허용 IP 점검
• 이메일 첨부파일과 URL 보안 교육
• 정기 백업과 복구 테스트 일정 등록

랜섬웨어는 한 번 감염된 뒤 복구했다고 끝나는 문제가 아닙니다. 복구 이후에는 백업 구조와 계정 보안, 네트워크 접근 제어까지 함께 개선해야 합니다.

백업 저장 위치를 다시 설계해야 한다면 백업 스토리지 기술과 클라우드 백업과 온프레미스 백업 차이점 글을 함께 보면 좋습니다.

랜섬웨어 감염 후 하지 말아야 할 행동

랜섬웨어 감염 후에는 급한 마음에 잘못된 조치를 하기 쉽습니다. 하지만 아래 행동은 복구 가능성을 낮추거나 피해 범위를 키울 수 있습니다.

하지 말아야 할 행동	이유
무작정 포맷하기	원인 분석과 복구 시점 파악에 필요한 정보가 사라질 수 있음
암호화 파일을 바로 삭제하기	나중에 복구 도구가 나와도 복구할 원본이 없어질 수 있음
백업 파일을 감염 PC에 바로 연결하기	정상 백업까지 암호화될 수 있음
최신 백업을 무조건 복원하기	이미 감염된 시점의 백업일 수 있음
출처 불명의 복호화 도구 실행하기	추가 악성코드 감염이나 파일 손상 위험이 있음
복구 후 같은 비밀번호 계속 사용하기	계정 탈취가 원인이라면 재침입 가능성이 있음
공유 폴더 권한을 그대로 되돌리기	다시 대량 암호화 피해가 발생할 수 있음
복구 테스트 없이 완료 처리하기	파일이 있어도 실제로 열리지 않을 수 있음

랜섬웨어 복구는 속도도 중요하지만 정확성이 더 중요합니다. 복구를 서두르다가 정상 백업까지 손상시키면 더 큰 문제가 됩니다.

개인 사용자 복구 예시

개인 사용자가 랜섬웨어에 감염되었다면 아래 순서로 진행할 수 있습니다.

1. 인터넷 연결을 끊고 외장하드와 USB를 분리합니다.
2. 랜섬노트, 확장자, 감염 시간을 캡처합니다.
3. 클라우드 동기화를 중지합니다.
4. 다른 깨끗한 PC에서 클라우드 휴지통과 버전 기록을 확인합니다.
5. 외장하드 백업이 있다면 바로 연결하지 말고 먼저 백신 검사 가능한 환경을 준비합니다.
6. 감염 전 백업 시점을 확인합니다.
7. PC를 초기화하거나 새 저장장치에 운영체제를 설치합니다.
8. 최신 보안 업데이트와 백신을 적용합니다.
9. 정상 백업에서 중요한 파일부터 복구합니다.
10. 파일이 정상적으로 열리는지 확인합니다.

개인 사용자는 특히 클라우드 동기화와 백업을 혼동하지 않는 것이 중요합니다. 동기화는 파일 변경을 따라가는 기능이고, 백업은 특정 시점으로 되돌릴 수 있어야 합니다.

소규모 회사 복구 예시

소규모 회사의 랜섬웨어 복구는 개인 PC보다 복잡합니다. 직원 PC, NAS, 서버, 백업 저장소, 관리자 계정이 서로 연결되어 있기 때문입니다.

기본 절차는 다음과 같습니다.

1. 감염 의심 PC와 서버를 네트워크에서 격리합니다.
2. NAS와 파일 서버 공유 권한을 임시로 제한합니다.
3. 백업 서버와 백업 콘솔 접근을 제한합니다.
4. 감염 시간, 계정 로그인 기록, 파일 변경 로그를 수집합니다.
5. 피해 시스템 목록과 업무 영향도를 정리합니다.
6. RTO와 RPO 기준으로 복구 우선순위를 정합니다.
7. 감염 전 백업 시점을 확인하고 격리 환경에 테스트 복원합니다.
8. 중요 업무 시스템부터 깨끗한 환경에 복구합니다.
9. 전체 비밀번호 변경, 권한 정리, 패치 적용을 진행합니다.
10. 정상 운영 전 보안 로그와 백업 상태를 재확인합니다.

소규모 회사에서는 복구 과정에서 고객 정보, 개인정보, 영업 정보가 포함될 수 있으므로 내부 담당자, 법무 또는 개인정보 담당자, 외부 보안 전문가와 함께 확인하는 것이 좋습니다. 국내에서는 KISA 인터넷보호나라&KrCERT를 통한 침해사고 신고와 상담 창구도 확인할 수 있습니다.

복구 가능한 백업인지 확인하는 체크리스트

랜섬웨어 복구에서 백업이 있다는 사실만으로는 부족합니다. 실제로 복구 가능한 백업인지 확인해야 합니다.

번호	체크 항목	확인 내용
1	감염 전 시점인가?	랜섬웨어 실행 전 백업인지 확인
2	백업 파일이 열리는가?	문서, 이미지, 압축 파일, DB 덤프 등 실제 열림 확인
3	백업본에 랜섬노트가 없는가?	감염 파일이나 이상 확장자가 포함되지 않았는지 확인
4	복구 권한이 있는가?	계정, 암호화 키, 백업 솔루션 접근 권한 확인
5	복구할 공간이 충분한가?	복원 대상 저장소 용량 확인
6	복구 시간이 허용 범위 안인가?	RTO 기준 안에 복원 가능한지 확인
7	데이터 손실 범위가 허용 가능한가?	RPO 기준에 맞는 시점인지 확인
8	격리 환경에서 테스트했는가?	운영망에 붙이기 전에 별도 환경에서 확인
9	보안 검사 결과가 정상인가?	백신, EDR, 악성코드 검사 결과 확인
10	복구 절차를 기록했는가?	복구 시간, 담당자, 사용한 백업 시점 기록

랜섬웨어 복구 후 백업 전략 개선하기

랜섬웨어를 한 번 겪었다면 기존 백업 전략을 반드시 다시 점검해야 합니다. 복구가 잘 되었더라도 같은 구조를 그대로 두면 다음 사고에서 다시 위험해질 수 있습니다.

복구 후 개선해야 할 백업 전략은 다음과 같습니다.

• 3-2-1 백업 원칙 적용
• 최소 1개 백업은 오프사이트 보관
• 최소 1개 백업은 에어갭 또는 이뮤터블 상태로 보호
• NAS 스냅샷과 별도 외부 백업 함께 사용
• 클라우드 백업은 삭제 보호와 버전 관리 적용
• 백업 관리자 계정 분리와 다중 인증 적용
• 월 1회 이상 일부 파일 복구 테스트
• 분기 또는 반기 단위 전체 복구 훈련
• 백업 결과와 복구 테스트 결과 문서화

백업과 장기 보관 데이터를 구분해야 한다면 백업과 아카이브 전략의 통합 글도 함께 참고할 수 있습니다.

랜섬웨어 복구 절차 요약

랜섬웨어 감염 후 복구 절차를 한 줄로 정리하면 다음과 같습니다.

격리 → 기록 → 백업 보호 → 피해 범위 확인 → 안전한 백업 시점 선택 → 깨끗한 환경 준비 → 중요 시스템부터 복구 → 정상 작동 확인 → 재감염 방지

이 순서를 지키면 당황해서 잘못된 백업을 덮어쓰거나, 감염된 환경에 다시 데이터를 복원하는 실수를 줄일 수 있습니다.

랜섬웨어 복구에서 가장 중요한 것은 “백업이 있느냐”가 아니라 “감염되지 않은 백업을 안전하게 복구할 수 있느냐”입니다.

자주 묻는 질문

Q1. 랜섬웨어 감염 후 바로 포맷해도 되나요?

바로 포맷하는 것은 권장하지 않습니다. 감염 시간, 랜섬노트, 파일 확장자, 로그 같은 정보가 복구 시점 선택과 원인 분석에 필요할 수 있습니다. 먼저 네트워크를 분리하고 필요한 정보를 기록한 뒤 복구 절차를 진행하는 것이 좋습니다.

Q2. 백업이 있으면 바로 복원하면 되나요?

아닙니다. 백업이 감염 이전 시점인지, 백업 안에 악성 파일이 없는지, 실제로 파일이 열리는지 먼저 확인해야 합니다. 안전한 백업 시점을 찾은 뒤 격리된 환경에서 테스트 복원을 먼저 해보는 것이 좋습니다.

Q3. 외장하드 백업이 있는데 감염 PC에 연결해도 되나요?

감염 PC에 바로 연결하면 정상 백업까지 암호화될 수 있습니다. 먼저 감염 PC를 정리하거나 새 환경을 준비한 뒤, 백업 저장매체를 검사하고 복원하는 것이 안전합니다.

Q4. 스냅샷이 있으면 백업 없이 복구 가능한가요?

스냅샷은 빠른 복구에 도움이 될 수 있지만, 같은 장비 안에 있거나 관리자 계정으로 삭제할 수 있다면 랜섬웨어에 영향을 받을 수 있습니다. 스냅샷은 백업을 보완하는 수단으로 보고, 별도 백업과 함께 운영하는 것이 좋습니다.

Q5. 랜섬웨어 복호화 도구를 사용해도 되나요?

공식 기관이나 신뢰할 수 있는 보안 업체에서 제공하는 도구인지 확인해야 합니다. 또한 중요한 파일은 원본에 바로 시도하지 말고 반드시 복사본으로 먼저 테스트하는 것이 안전합니다.

Q6. 몸값을 내면 파일을 복구할 수 있나요?

몸값을 냈다고 해서 반드시 복구된다는 보장은 없습니다. 또한 추가 피해나 재공격 위험도 있습니다. 가능하면 백업 복구, 공식 복호화 도구, 보안 전문가 상담, 침해사고 신고 등 합법적이고 안전한 복구 경로를 먼저 확인해야 합니다.

Q7. 랜섬웨어 복구 후 가장 먼저 바꿔야 할 것은 무엇인가요?

관리자 계정 비밀번호, 원격 접속 계정, VPN 계정, NAS 관리자 계정, 클라우드 백업 계정부터 점검하는 것이 좋습니다. 이후 운영체제와 프로그램 패치, 백업 권한 분리, 다중 인증 적용, 복구 테스트 일정화를 진행해야 합니다.

참고 자료

• Microsoft Learn - Incident Response ransomware approach and best practices
• Microsoft Learn - Backup and restore plan to protect against ransomware
• KISA 인터넷보호나라&KrCERT - 랜섬웨어 복구절차
• KISA 인터넷보호나라&KrCERT - 랜섬웨어 보안강화 권고
• NIST - Protecting Data from Ransomware and Other Data Loss Events
• NIST - Guide for Cybersecurity Event Recovery

마무리

랜섬웨어 감염 후에는 복구를 서두르기보다 순서를 지키는 것이 중요합니다. 먼저 감염 장비를 격리하고, 감염 시간과 증거를 기록하고, 남아 있는 백업을 보호해야 합니다. 그다음 피해 범위를 확인하고 감염 전 백업 시점을 찾아 깨끗한 환경에 복원해야 합니다.

복구 후에는 반드시 재감염 방지 조치를 해야 합니다. 비밀번호 변경, 권한 정리, 보안 패치, 다중 인증, 백업 구조 개선, 정기 복구 테스트가 함께 이루어져야 합니다.

결국 랜섬웨어 대응의 핵심은 완벽한 예방만이 아니라 복구 가능한 구조를 미리 만들어두는 것입니다. 3-2-1 백업, 이뮤터블 백업, 에어갭 백업, 복구 테스트를 함께 운영하면 랜섬웨어 피해를 크게 줄일 수 있습니다.