
랜섬웨어 대비는 백신 설치만으로 끝나지 않습니다. 출처가 불명확한 이메일을 차단하고, VPN·원격접속 계정에는 다중인증과 최소 권한을 적용하며, 중요 데이터는 분리 백업과 복구 훈련으로 실제 복원 가능성을 확인해야 합니다.
이메일과 유지보수 경로를 먼저 의심하세요
2026년 4월 중소벤처기업부, 경찰청, KISA는 국내 중소기업을 대상으로 한 신규 랜섬웨어 위협을 알리며 보안권고문을 배포했습니다. 권고에 따르면 공격자는 견적 문의, 입사 지원, 컨설팅 요청처럼 업무상 자연스러운 메일로 침투한 뒤 계정 정보와 내부 정보를 노릴 수 있습니다.
거래처나 유지보수 업체 이름으로 온 메일이라도 첨부파일 실행 전 발신 주소, 파일 형식, 요청 맥락을 별도 채널로 확인하세요. 특히 원격제어 프로그램 설치 파일, 압축파일 안의 실행 파일, 매크로가 포함된 문서는 담당자 단독 판단으로 열지 않는 절차가 필요합니다.

원격접속 계정은 최소 권한으로 줄입니다
랜섬웨어는 내부 PC 한 대에서 끝나지 않고 원격접속, 공유폴더, 관리자 계정을 따라 서버와 업무시스템으로 번질 수 있습니다. VPN, 원격 데스크톱, 유지보수 계정은 실제 필요한 사람과 시간대만 허용하고, 퇴사자·외주 인력의 계정은 즉시 회수해야 합니다.
다중인증을 적용할 수 있는 계정은 우선 적용하고, 관리자 권한은 일상 업무 계정과 분리하세요. 외부 접속 기록과 실패 로그를 주기적으로 확인하면 평소와 다른 접속 시도를 더 빨리 발견할 수 있습니다.
- VPN·원격접속 계정의 사용자와 목적 재확인
- 관리자 계정과 일반 업무 계정 분리
- 외주·유지보수 계정의 사용 기간과 접속 가능 시간 제한
백업은 보관보다 복구 가능성이 핵심입니다
KISA 보호나라는 랜섬웨어 대응을 위한 데이터백업 수칙에서 중요 데이터의 다중 사본, 서로 다른 저장매체, 외부 또는 분리된 위치의 백업을 강조합니다. 같은 네트워크에 항상 연결된 백업 저장소만 믿으면 공격자가 백업 파일까지 암호화하거나 삭제할 수 있습니다.
백업 담당자 외 접근을 제한하고, 가능하면 백업 저장소에도 다중인증을 적용하세요. 백업 서버와 백업 소프트웨어에는 보안 업데이트를 빠르게 적용하고, 백업 전 원본 파일의 이상 여부를 확인해 감염된 데이터가 정상 백업을 덮어쓰지 않도록 해야 합니다.
연 1회가 아니라 변경 때마다 복구를 시험하세요
보호나라 수칙은 정기적인 복구 훈련으로 실제 복구 가능성을 검증하라고 안내합니다. 실무에서는 회계 프로그램, 고객 관리 파일, 주문·재고 데이터처럼 영업 중단에 직접 영향을 주는 항목부터 복구 우선순위를 정하는 것이 좋습니다.
새 서버를 들이거나 백업 프로그램을 바꿨을 때, 담당자가 바뀌었을 때, 중요한 업무시스템을 추가했을 때는 작은 범위라도 복구 테스트를 다시 해야 합니다. 복구 시간, 필요한 계정, 외부 업체 연락처, 실패 원인을 기록하면 실제 사고 때 판단 시간을 줄일 수 있습니다.
- 업무별 복구 우선순위와 목표 복구 시간 정리
- 샘플 파일이 아닌 실제 업무 데이터 기준 복구 테스트
- 복구 실패 원인과 담당자 연락망 문서화
보안 솔루션은 운영 절차와 함께 봐야 합니다
에스원 공식 홈페이지는 SESP를 통합 PC 보안 솔루션으로, 서버 안티랜섬웨어를 파일 변경 행위 분석과 자동 백업 등 서버 보호 목적의 솔루션으로 안내합니다. 이런 솔루션은 감염 징후 탐지와 차단에 도움이 될 수 있지만, 어떤 알림을 누가 확인하고 어떤 기준으로 PC를 격리할지 정해져 있어야 효과가 납니다.
랜섬웨어 감염이 의심되면 공격자와 직접 연락하거나 임의로 복호화 도구를 실행하지 말고, 네트워크 분리와 증거 보존을 우선한 뒤 KISA 118 등 관계기관 신고 절차를 확인하세요. 예방, 탐지, 백업, 신고 절차가 함께 움직여야 피해 범위를 줄일 수 있습니다.
자주 묻는 질문
Q. 백업 파일이 있으면 랜섬웨어 피해를 걱정하지 않아도 되나요?
아닙니다. 백업 저장소가 같은 네트워크에 계속 연결되어 있거나 복구 테스트를 하지 않았다면 실제 사고 때 사용할 수 없을 수 있습니다. 분리 보관과 접근 통제, 복구 훈련을 함께 확인해야 합니다.
Q. 작은 회사도 다중인증이 꼭 필요한가요?
원격접속, 관리자 계정, 백업 저장소처럼 침해 시 피해가 큰 계정에는 우선 적용하는 것이 좋습니다. 모든 계정을 한 번에 바꾸기 어렵다면 외부 접속 계정부터 시작하세요.


