Select Language

Contact

회사소개

서비스

제품

미디어센터

채용

Contact

회사소개

서비스

제품

미디어센터

채용

Select Language

Contact

회사소개

서비스

제품

미디어센터

채용

Go to Top

보안 인사이트

랜섬웨어 공격, '기본'만 지켜도 막을 수 있다

김인순

2025. 11. 13.

Content

최근 연이어 국내 기업들이 랜섬웨어의 표적이 되고 있습니다.

올해 6월 온라인 서점 예스24는 랜섬웨어 감염으로 일주일간 서비스가 중단됐습니다. 간신히 복구했지만 두 달 뒤 예스24는 또다시 서비스가 중단됐습니다. 예스24 사고는 바로 고객 불편은 물론 회사 신뢰도 하락으로 이어졌습니다. 예스24 외에도 알려지지 않았지만 랜섬웨어 공격으로 회사 내부 시스템이나 제조 라인이 멈춘 회사가 늘어나고 있습니다.

많은 기업이 한 번이 아니라 여러번 랜섬웨어 공격에 당하고 있습니다. 이런 사실은 단순한 불운이 아니라 구조적 보안 관리 부재를 의미합니다.

예스24는 6월 랜섬웨어 감염 뒤 두 달만에 또다시 공격을 받았다. X에 올라온 예스24의 공지문

데이터가 증명한 진실: "몸값을 지불하면 안 된다"

사이버 보안 업계에서는 오래전부터 "랜섬을 주면 안 된다"고 경고해왔습니다. 이제 이는 단순한 주장이 아니라 명확한 데이터로 증명된 사실인데요.

사이버보안 기업 사이버리즌(Cybereason)이 발표한 "랜섬웨어 리포트(The Report Ransomware: The True Cost to Business 2024)"는 충격적인 통계를 제시합니다.

보고서는 암호화된 시스템을 되돌려받기 위해 몸값을 지불한 조직 중 손상되지 않은 상태로 데이터와 시스템을 복구한 비율은 47%에 불과하다고 밝혔다. 절반 이상 기업이 돈을 주고도 제대로 된 복구를 하지 못했다는 것입니다.

거기에 재공격은 거의 필연처럼 따라왔습니다.

사이버리즌은 지난 24개월 동안 조사 대상 조직의 56%가 랜섬웨어 공격을 두 차례 이상 겪었다고 밝혔습니다. 몸값을 지불한 조직의 약 80%가 두 번째 공격을 당했습니다.

예스24처럼 재공격에 걸린 시간도 매우 짧습니다. 공격을 받았던 피해 기업 중 82%는 1년 이내에 다시 공격을 받았습니다. 이중 63%는 다시 몸값을 내라는 요구를 받았습니다. 랜섬웨어 공격자가 계속해서 기업을 갈취하는 구조가 된 것입니다.

이 데이터가 말하는 것은 명확합니다.

"랜섬을 지불해도 득이 없다"는 사실입니다.

돈을 주고 복구하면 문제가 해결될 것이라는 기대는 착각에 불과합니다. 오히려 돈을 준 순간, 해커들 사이에 '돈 주는 곳'으로 소문나며 재공격은 정해진 수순이 됩니다.

알려진 취약점에서 시작된 공격, 보안의 기본이 답이다

최근 국내외에서 발생한 주요 랜섬웨어 사고들을 분석해보면 공통점이 있습니다. 대부분의 공격이 이미 알려진 취약점을 통해 시작됐다는 점입니다. 공격자들은 보안 업데이트를 제대로 하지 않은 가상사설망(VPN) 장비, 노출된 원격 접속 서비스, 취약한 인증 체계 등 '기본'이 지켜지지 않은 지점을 정확히 파고들었습니다.

기업은 알려진 취약점에 노출된 VPN을 패치 업데이트 없이 운영하고 있습니다. VPN은 외부에서 내부 네트워크로 연결되는 관문인 만큼, 최신 보안 패치 적용과 지속적인 모니터링이 필수입니다.

기업 내 일부 관리자 계정이 필요 이상의 권한을 보유하고 있는 사례가 많습니다. 특정 서버의 관리자 권한이 다른 시스템에 접근할 수 있는 통로가 되고 있습니다. 최소 권한 원칙을 다시 점검해야 합니다.

독립된 환경에서의 백업 서버 운영이 실패하고 있습니다. 액티브디렉터리(AD) 환경에서 백업 서버가 실시간 네트워크 연결돼 공격자 접근이 가능한 경우가 많습니다. 이렇게 되면 공격자가 백업에 접근해 복원까지 불가능하게 만들어버립니다. 백업은 물리적·논리적으로 분리된 독립 환경에서 관리돼야 하는데 기본 원칙이 지켜지지 않고 있습니다.

보안 관제 서비스 운영이 미흡합니다. 기업에서 외부 로그 수집 및 모니터링 시스템이 제대로 작동하지 않는 경우가 많습니다. 공격자가 최초 침투후 여러 단계의 의심스러운 활동을 해도 탐지되지 않았습니다. 공격자는 기업 내부로 계속 측면 이동(Lateral Movement)을 할 수 있게 내버려둔 것입니다.

한 번 당하면 계속되는 표적, 재발 방지가 핵심

랜섬웨어 공격에서 많은 조직들이 간과하는 중요한 사실이 있습니다다. 한 번 공격당한 조직은 공격자들의 '단골 표적'이 된다는 점입니다.

공격자들은 성공한 침투 경로, 조직의 보안 체계 약점, 대응 수준 등을 상세히 기록합니다. 이 정보는 다크웹의 해커 커뮤니티에서 거래되고, 다른 공격 그룹과 공유됩니다. 몸값을 지불한 조직이라면 '지불 의향이 있는 조직'으로 분류돼 더욱 매력적인 표적이 되는 것입니다.

더 심각한 것은, 한국 기업들이 '쉬운 표적'이자 '반복 가능한 수익원'으로 인식되고 있다는 점입니다. 몸값을 지불한 후 근본적인 보안 개선 없이 단순 복구만 진행하면, 공격자는 같은 경로로 다시 침투해 또다시 파일을 암호화할 수 있습니다.

몸값 지불 → 복구 → 보안 강화 미흡 → 재공격 → 또다시 몸값 지불.

이 사이클이 반복될수록 해커들 사이에서 한국 기업의 '재방문 가치'는 높아집니다. 돈을 주고 파일을 풀어받는 순간, 다시 공격당하는 것은 정해진 수순이 됩니다.

보안의 기본, 지속적인 관리가 최선의 방어

랜섬웨어는 더 이상 '예외적인 사고'가 아닙니다. 모든 조직이 직면한 '일상적인 위협'입니다. 랜섬웨어는 이제 기업의 규모나 산업을 가리지 않습니다. 누구나 노출되어 있고, 기본이 무너지는 순간 공격은 현실이 됩니다.

대부분의 공격은 복잡한 기술이나 정교한 해킹이 아니라, 알펴진 취약점이 패치되지 않은 장비, 방치된 계정과 권한, 분리되지 않은 백업 등 “기본”의 부재에서 시작됩니다.

그래서 진짜 중요한 것은 기업의 체계적인 보안 정책과 투자입니다. 패치 관리와 접근 통제 같은 기초 보안에 대한 꾸준한 예산 배정, 숙련된 보안 인력 확보와 내부 보안문화의 정착, 위협을 조기에 식별하고 관리할 수 있는 적절한 솔루션의 활용이 그 해답입니다.

사고 후 복구로 순간을 모면하는 것이 아니라, 근본 원인을 철저히 분석하고 재발을 방지하는 체계를 구축해야 합니다.

보안은 ‘한 번의 점검’으로 끝나지 않습니다. 매일 변하는 공격 환경 속에서, 기업이 스스로의 시스템을 꾸준히 점검하고, 사람과 기술, 프로세스가 함께 움직일 때 비로소 지속 가능한 방어력이 만들어집니다.

해커들 사이에서 "한국 기업은 또 당한다"는 소문이 아니라, "한국 기업은 보안이 철저하다"는 평판을 만들어가야 할 때입니다. 그리고 무엇보다, 몸값을 주는 것이 아니라 보안에 투자하는 것이 진정한 해결책임을 기억해야 합니다.

김인순

가천대 스타트업 컬리지 겸임교수

전자신문 ICT융합부 데스크 출신으로 20년간 사이버 보안 취재 및 커뮤니케이션 전문가로 활동 중이다.