랜섬웨어 공격을 받은 컴퓨터 모니터에 잠금 해제를 요구하는 화면이 보이는 상황을 연출한 사진.
어느 날 갑자기 바탕화면이 잠기고, 알 수 없는 팝업이 “파일을 암호화했으니 비트코인을 보내라”고 요구하는 순간. 당황스럽고 화가 나면서도 앞이 캄캄해지는 경험, 상상만 해도 끔찍하죠. 랜섬웨어는 더 이상 남의 이야기가 아니에요. 소상공인, 프리랜서, 개인 사용자까지 가리지 않고 공격 대상이 되고 있습니다.
하지만 더 큰 문제는 공격 이후에 생기기도 해요. 감염 사실을 인지한 순간, 대부분의 사람들은 ‘일단 뭔가 해야 한다’는 조바심에 휩싸이기 때문이에요. 인터넷을 뒤지고, 믿을 만한 해결책을 찾아 헤매다가 오히려 상황을 악화시키는 경우가 무척 많습니다.
이 글에서는 정말 위험 부담이 큰 세 가지 행동을 정리하고, 그 대신 차분하게 해야 할 현실적인 대처 순서를 담았어요. 전문가가 옆에 없는 상황이라면 더더욱 한 번쯤 읽어두시길 추천합니다.
✍️ 핵심 요약
- 랜섬웨어 감염 사실을 확인했다면 해커가 요구하는 몸값을 절대 지불해서는 안 돼요. 복구를 보장하지 않을뿐더러 범죄 수익을 늘려줄 뿐입니다.
- 침해된 PC를 무심코 종료하거나 재부팅하면 복호화에 필요한 단서가 메모리에서 사라져 복구 가능성이 크게 낮아집니다.
- 인터넷에서 구한 무료 복구 툴이나 프로그램을 성급하게 실행하는 것은 가장 흔한 실수이며, 데이터가 덮어써지거나 랜섬웨어가 다른 장치로 번질 수 있어요.
- 대신 네트워크를 즉시 차단하고, 피해 증거를 확보한 후, 신뢰할 수 있는 보안 전문가의 도움을 받는 것이 최선의 선택입니다.
글 순서
랜섬웨어 감염, 어떤 증상으로 알 수 있을까?
사실 랜섬웨어는 감염 사실을 너무나 확실하게 알려주는 경우가 대부분이에요. 파일 확장자가 이상하게 바뀌거나, 문서·사진·영상 파일이 갑자기 실행되지 않고, “파일을 열려면 복호화 키가 필요하다”는 내용의 텍스트 파일이 바탕화면에 생성됩니다. 일부 유형은 브라우저를 통해 협박 메시지를 띄우거나, 시스템 복원 지점을 삭제하기도 해요.
주의해야 할 점은, 초기에는 이상 징후가 거의 없는 채로 백그라운드에서 암호화가 진행되는 경우도 있다는 사실입니다. 그래서 평소보다 컴퓨터 속도가 눈에 띄게 느려지거나, 디스크 사용률이 이유 없이 100%를 치솟는다면 의심해 볼 필요가 있어요. 이런 징후를 놓치면, 어느 순간 대량의 파일이 이미 암호화된 상태를 맞닥뜨리게 됩니다.
감염 경로는 주로 보안 패치가 미뤄진 소프트웨어의 취약점을 통하거나, 이메일 첨부파일·가짜 웹사이트 링크를 클릭할 때 발생해요. 특히 코로나19 이후 재택근무가 늘면서 가정용 네트워크를 겨냥한 랜섬웨어도 꾸준히 증가하고 있습니다.
하면 안 되는 행동 ① : 해커에게 돈을 지불하기
가장 유혹적인 선택이지만, 동시에 가장 위험한 결정이에요. 해커는 지금 이 순간에도 “비용을 내면 문제가 해결될 거야”라는 심리를 교묘하게 파고듭니다. 하지만 공식 안내나 보안 기관의 통계를 보면, 몸값을 지불했다고 해서 모든 파일을 완벽하게 돌려받는 경우는 오히려 소수예요.
실제로 몸값을 지불하더라도, 해커가 약속한 복호화 키를 제대로 제공하지 않거나, 일부 파일만 풀어주는 사례가 많아요. 더욱이 처음 지불한 금액에 만족하지 않고 추가 금전을 요구하는 ‘이중 협박’도 빈번해지고 있습니다. 한 번 돈을 입금한 피해자는 ‘또 공격당할 만한 표적’으로 낙인찍히기 십상이지요.
게다가 이러한 비용 지불은 사이버 범죄 조직의 자금줄이 되어, 더욱 정교한 랜섬웨어를 만드는 데 악용될 수 있어요. 유럽 경찰 기구나 미국 FBI에서도 ‘몸값을 지급하지 말라’고 공식적으로 권고하고 있습니다. 개인이나 사업자 입장에서는 눈앞의 데이터를 살리고 싶은 마음이 크겠지만, 장기적인 관점에서는 해결책이 될 수 없다는 점을 꼭 기억해야 해요.
하면 안 되는 행동 ② : 컴퓨터를 강제로 종료하거나 재부팅하기
‘일단 끄고 보자’는 생각, 너무나 자연스럽죠. 하지만 랜섬웨어 공격 상황에서는 이 판단이 되돌릴 수 없는 피해로 이어질 수 있어요. 최신 랜섬웨어들은 암호화를 진행하면서 메모리에 복호화 키의 일부를 일시적으로 저장하는 경우가 많습니다. 전원을 강제로 차단하면 메모리 내 중요한 정보가 휘발되어 전문 복구 업체조차 손을 쓰기 어려운 상태가 됩니다.
또한, 윈도우나 macOS 시스템은 정상 종료 과정에서 열려 있는 파일을 정리하고 손상 복구를 시도하는데, 감염된 상태에서 무리하게 종료하면 파일 시스템이 더 꼬이거나 부트 섹터 손상까지 생길 수 있어요. 이후 부팅이 아예 불가능해지면, 디스크를 분리해 다른 PC에서 복구하는 작업마저 까다롭게 만듭니다.
오히려 즉시 해야 할 행동은 강제 종료가 아니라 네트워크 연결을 재빨리 차단하는 거예요. 유선 랜선을 뽑거나 Wi-Fi를 꺼서 추가 암호화나 다른 기기로의 확산을 막은 뒤, 전문가의 원격 진단을 기다리는 편이 안전합니다.
하면 안 되는 행동 ③ : 무턱대고 복구 툴을 돌리거나 파일을 수정하기
‘랜섬웨어 복구’ 혹은 ‘복호화 도구’라고 검색하면 수많은 무료 툴이 눈에 들어와요. 하지만 이 도구들은 특정 변종에만 효과가 있는 맞춤형 도구인 경우가 대부분이에요. 자신이 감염된 랜섬웨어의 종류를 정확히 모른 채 무작위로 프로그램을 돌리면, 암호화된 파일에 잘못된 연산이 적용되어 영구히 손상될 위험이 있어요.
더 큰 문제는, 인터넷에 올라온 정보 중에는 오히려 악성코드를 포함한 가짜 복구 툴도 버젓이 유포된다는 점이에요. 믿고 다운로드했다가 추가 랜섬웨어나 정보 탈취 프로그램에 감염되는 사례도 심심찮게 보고되고 있어요. 실제로 사이버 보안 업체의 내부 조사에서도 ‘무료 복구 도구’의 상당수가 사용자 PC의 계정 정보를 빼내는 스파이웨어였다는 발표가 있기도 했습니다.
그러니 감염 직후에는 복구 의욕을 잠시 내려놓고, 감염된 하드디스크를 그대로 보존하는 게 무엇보다 중요해요. 이후 전문 업체가 포렌식 절차를 통해 디스크를 분석하고, 복호화 가능성을 판단할 때까지는 어떤 프로그램도 실행하지 말아야 합니다.
감염 직후, 실제로 해야 하는 대처 순서
그럼 도대체 어떻게 해야 할까요? 당장 기억하기 쉽도록 단계별로 정리해 볼게요. 전문 보안 대응팀이 출동하는 기업 환경보다는, 일반 가정이나 소규모 사무실에서 혼자 마주친 상황을 가정했어요.
1단계: 물리적 네트워크 차단. 가장 먼저 유선 랜선을 빼거나 노트북의 무선 랜 스위치를 꺼 주세요. 공유기 설정에 접근할 수 있다면 아예 전원을 분리해도 좋습니다. 목표는 랜섬웨어가 다른 PC나 NAS, 클라우드 동기화 폴더로 퍼지는 것을 최대한 빠르게 막는 거예요.
2단계: 증거 확보. 스마트폰으로 모니터 화면을 촬영해 협박 메시지나 암호화 안내문, 시스템 오류 창 등을 사진으로 남겨둡니다. 나중에 신고하거나 전문가 상담 시 결정적인 단서가 돼요.
3단계: 격리. 감염된 PC와 연결되었던 외장하드, USB 메모리 등은 뽑지 말고 그대로 둔 채, 해당 장치를 다른 기기에 연결하지 않도록 합니다. 공유 폴더가 설정된 다른 컴퓨터가 있다면 함께 네트워크를 분리해 주세요.
4단계: 전문가 상담과 공식 신고. 믿을 수 있는 보안 업체나 프리랜서 전문가에게 연락해 상황을 설명하고, 원격 또는 방문 지원을 요청합니다. 동시에 한국인터넷진흥원(KISA) 사이버 민원 상담센터나 경찰청 사이버안전국에 피해 사실을 접수하면 수사 및 복구 기술 지원을 받을 수 있는 경로가 열릴 수 있어요.
5단계: 백업 상태 확인. 평소에 외장하드나 클라우드에 백업을 해두었다면, 감염 기기와 완전히 분리된 환경에서 백업 파일의 상태를 점검합니다. 복원을 시도하기 전에 백업 본에도 악성코드가 숨어 있지 않은지 반드시 검사해야 합니다. 백업이 없다면, 전문 업체가 파일 복호화 가능성을 평가할 때까지 하드디스크를 그대로 보관하는 게 가장 좋은 방법이에요.
랜섬웨어 피해를 줄이는 사전 예방 습관
아무리 대처 요령을 알아도, 근본적인 답은 ‘미리 막는 것’이라는 점을 부인할 수 없어요. 다행히 몇 가지 간단한 습관만으로도 상당한 방어력을 높일 수 있습니다.
먼저 백업, 그중에서도 ‘3-2-1 백업 규칙’을 생활화하는 게 가장 강력한 보험이에요. 데이터를 세 벌로 보관하되, 두 가지 이상의 다른 매체를 사용하고, 한 벌은 반드시 오프라인(네트워크에서 분리된 외장하드나 테이프)으로 보관하는 방식입니다. 이렇게 해두면 랜섬웨어가 연결된 모든 저장소를 뒤져도 오프라인 백업은 안전하게 남아 있어요.
운영체제와 소프트웨어 자동 업데이트도 빼먹지 말아야 합니다. 많은 랜섬웨어는 이미 알려진 취약점을 이용해 침투하기 때문에, 최신 패치를 적용하는 것만으로도 감염 가능성이 크게 낮아지거든요. 특히 윈도우의 원격 데스크톱 프로토콜(RDP)을 사용한다면 반드시 이중 인증과 복잡한 비밀번호를 설정해야 합니다.
끝으로, 이메일과 문자 메시지에 대한 의심 습관을 키우는 게 중요해요. 출처가 불분명한 첨부파일은 클릭하지 않고, 아무리 급해 보이는 내용이라도 링크 주소를 한 번 더 확인하는 태도만으로도 공격의 70% 이상은 막을 수 있다고 해요. 직장 동료나 거래처를 사칭하는 ‘스피어 피싱’까지 노린다면, 전화 한 통으로 진위를 확인하는 것도 좋은 방법입니다.
전문 업체에 의뢰할 때 알아둘 점
만약 감염 피해가 커서 전문가의 도움을 받기로 결심했다면, 몇 가지 현실적인 포인트를 미리 알고 가는 것이 좋아요. 모든 상황에 통용되는 정답은 없지만, 흔히 놓치는 부분을 중심으로 정리해 볼게요.
비용은 사례마다 천차만별이에요. 단순한 변종이고 암호화 방식이 이미 연구된 유형이라면 비교적 낮은 비용으로 복구될 수 있습니다. 하지만 신종 랜섬웨어이거나, 복호화 키가 유출되지 않은 사례라면 데이터 복구가 기술적으로 불가능하다는 진단을 받을 수도 있어요. 이럴 때는 디스크 이미지를 보존해 두고 차후 기술이 발전하기를 기다리는 수밖에 없습니다.
초기 상담 시 무턱대고 높은 견적을 제시하는 곳은 피하세요. 신뢰할 만한 보안 업체는 보통 감염된 파일 샘플을 분석하고, 복호화 가능성과 작업 범위를 먼저 알려줍니다. 막연하게 “일단 맡기면 해결해 드리겠습니다”라는 말만 반복한다면 한 번쯤 의심해 봐야 해요. 가능하면 계약 전에 포렌식 분석 계획과 개략적인 비용 구조를 서면으로 받아두는 게 좋습니다.
또한, 복구 작업에 며칠에서 몇 주까지 걸릴 수 있으므로, 그 기간 동안 업무에 지장이 없도록 우선 복구해야 할 파일의 우선순위를 미리 정리해 두는 게 현명해요. 회계 자료, 계약서, 고객 연락처 등 절실한 데이터부터 순서를 매겨 요청하면 작업 효율도 높아지고 결과에 대한 만족도도 올라갈 거예요.
| 하면 안 되는 행동 | 잠재 위험 | 올바른 대안 |
|---|---|---|
| 몸값 지불 | 복구 불확실, 추가 공격 표적 | 전문 복구 상담과 신고 |
| 강제 종료·재부팅 | 복호화 단서 소멸, 파일 시스템 손상 | 네트워크 차단 후 대기 |
| 무분별한 복구 도구 사용 | 데이터 영구 손상, 악성코드 유입 | 디스크 보존 후 포렌식 분석 |
⚠️ 주의하세요
해커가 보여주는 협박 화면에 혹시 “24시간 안에 지불하지 않으면 파일을 영구 삭제하겠다”는 문구가 있어도 지나치게 겁먹지 않기를 바랍니다. 실제로 타이머가 지나도 전체 파일을 삭제하는 경우는 극히 드물어요. 오히려 불안감을 부추겨 성급한 결정을 유도하는 심리 전략에 가깝습니다. 차분하게 대응하는 게 무엇보다 중요합니다.
상황별 체크리스트
- PC 한 대만 감염되었다면: 해당 PC의 네트워크 케이블을 즉시 분리하고 다른 기기와의 공유 폴더 연결을 해제하세요.
- 사내 여러 대가 동시에 잠겼다면: 중앙 서버나 NAS의 전원을 내리고, 전체 사내 네트워크를 인터넷에서 분리한 뒤 IT 담당자에게 긴급 연락합니다.
- 클라우드 동기화 폴더도 암호화되는 중이라면: 해당 클라우드 계정에 접속해 동기화를 일시 정지하거나, 클라우드 업체의 버전 이력 기능을 이용해 감염 이전 시점으로 파일을 복원할 수 있는지 확인하세요.
- 랜섬 노트에 연락처가 있다면: 그 연락처로 절대 연락하지 말고, 모든 메시지를 스크린샷으로 남겨 수사 기관에 제출합니다.
자주 묻는 질문 (FAQ)
Q. 랜섬웨어에 한 번 걸린 파일은 절대 복구가 안 되나요?
A. 무조건 안 되는 것은 아니에요. 과거에 유행했던 일부 랜섬웨어의 경우 복호화 키가 공개되어 전용 복구 도구가 존재하는 경우가 있어요. 유로폴의 ‘No More Ransom’ 프로젝트 같은 곳에서 무료 복구 툴을 제공하기도 하고요. 하지만 신종이거나 복호화 키가 유출되지 않은 경우 복구가 어려울 수 있어요. 보안 전문가의 진단을 받아보는 것이 가장 정확합니다.
Q. 피해 사실을 꼭 신고해야 하나요?
A. 개인이라면 신고가 의무는 아니지만, 통계 수집과 수사에 도움이 되므로 가능하면 신고하는 편이 좋아요. 기업이나 기관은 개인정보 유출이 연관될 경우 개인정보보호법에 따라 신고 의무가 발생할 수 있으니 주의해야 합니다.
Q. 바이러스 백신 프로그램으로는 치료가 안 되나요?
A. 최신 랜섬웨어는 대부분 백신 프로그램이 탐지하기 전에 빠르게 암호화를 마치도록 설계되어 있어요. 이미 암호화가 진행된 후에는 백신이 랜섬웨어 자체를 제거할 수는 있어도, 암호화된 파일을 되돌리지는 못합니다. 예방 단계에서는 큰 도움이 되지만, 감염 후에는 추가 확산을 막는 정도로 역할이 제한돼요.
Q. 노트북을 포맷하고 운영체제를 다시 설치하면 해결될까요?
A. 포맷과 OS 재설치는 랜섬웨어를 제거하는 방법 중 하나이지만, 이미 암호화된 파일은 다시 살릴 수 없어요. 중요한 데이터를 포기할 수 있다면 가능하지만, 그렇지 않다면 포맷 전에 전문 복구를 시도해야 합니다.
Q. 스마트폰이나 태블릿도 랜섬웨어에 위험한가요?
A. 위험하지만, PC에 비해 감염 사례가 적은 편이에요. 주로 가짜 앱이나 스미싱 문자를 통해 유포되며, 잠금 화면만 띄우는 단순한 유형이 많습니다. 의심스러운 앱을 설치하지 않고, 정기적으로 백업해두는 습관이 중요해요.
Q. 랜섬웨어 공격 이후 보험 처리가 가능한가요?
A. 국내에서도 사이버 보험 상품이 점차 늘고 있어요. 기업용 배상 책임 보험이나 개인용 사이버 안심 보험 등에 가입되어 있다면, 복구 비용이나 대체 업무 비용을 일부 보상받을 수 있습니다. 보험 약관을 미리 살펴보고, 몸값 지불 비용은 보험금 지급 대상에서 제외되는 경우가 많으므로 주의가 필요해요.
Q. 아이폰이나 맥은 랜섬웨어로부터 안전한가요?
A. 윈도우에 비해 상대적으로 표적이 적은 것은 사실이지만, 완전히 안전하지는 않아요. 최근에는 맥OS를 노린 랜섬웨어도 등장하고 있습니다. 정기적인 업데이트와 보안 설정만으로도 충분히 방어할 수 있으니 방심하지 않는 게 좋아요.
이 글은 랜섬웨어 공격 시의 일반적인 대응 요령을 전달하기 위해 작성되었으며, 실제 상황에서는 감염된 랜섬웨어의 종류, 시스템 환경, 피해 규모에 따라 올바른 대처 방법이 달라집니다. 본 내용을 바탕으로 모든 판단을 내리기보다, 반드시 보안 전문가의 조언을 함께 구해 주세요. 또한, 각 기관이나 법률의 지침이 변경될 수 있으므로 최신 정보를 꼭 확인하시기 바랍니다.