IT · · 최윤석
먼저 볼 기준
랜섬웨어 백업 복구 점검은 개인, 소상공인, 작은 팀이 랜섬웨어에 대비할 때 백업 파일을 “어딘가에 저장했다”는 수준에서 멈추지 않도록 복구 관점으로 정리한 글이다. 랜섬웨어 백업 복구 점검은 백업 성공 알림보다 복원 성공 시간을 확인하는 데서 시작한다.
CISA의 #StopRansomware Guide는 랜섬웨어와 데이터 갈취 사고의 준비, 예방, 대응 체크리스트를 제공한다. 이 가이드는 백업, 탐지, 초기 접근 차단, 대응 연락망, 복구 우선순위처럼 사고 전후에 필요한 항목을 나눠 제시한다.
핵심 조건과 숫자 정리
| 짚어둘 점 | 글에서 볼 기준 |
|---|---|
| 분리 | 백업은 운영 장비와 같은 권한으로 항상 연결해 두지 않는 편이 안전하다. |
| 복원 | 정기적으로 샘플 파일과 전체 폴더 복구를 테스트한다. |
| 우선순위 | 매출, 고객, 법정 보관자료, 운영 문서의 복구 순서를 정한다. |
| 대응 | 감염 의심 때 끌 장비, 연락할 사람, 신고·고객 안내 절차를 미리 정한다. |
한국 독자에게 남는 영향
한국의 작은 병원, 학원, 쇼핑몰, 프리랜서 팀은 파일 서버와 NAS, 구글 드라이브, 외장하드가 섞여 있다. 자동 동기화 폴더 하나만 믿으면 감염된 파일이 그대로 동기화될 수 있다. 고객 주문, 세금자료, 계약서, 원본 디자인 파일은 복구 우선순위를 따로 정해야 한다.
데일리이슈는 백업 점검을 “복사본 개수”가 아니라 “업무 재개 시간”으로 본다. 오늘 PC가 잠겨도 어느 장비에서 어떤 계정으로 어떤 파일부터 열 수 있는지 30분 안에 시험해 보는 것이 실제 훈련이다.
3-2-1 규칙과 복구 시간 다시 보기
백업의 표준 틀로 자주 인용되는 것이 '3-2-1 규칙'이다. 중요한 데이터를 3벌 두고, 서로 다른 2종류의 매체에 저장하며, 그중 1벌은 물리적으로 떨어진 곳이나 오프라인에 둔다는 원칙이다. 랜섬웨어는 네트워크로 연결된 백업까지 함께 암호화하는 경우가 많아, 늘 연결돼 있는 동기화 폴더 하나만으로는 부족하다. 그래서 오프라인 사본 한 벌이 마지막 방어선이 된다. 미국 CISA의 #StopRansomware 가이드도 이 분리 보관과 복구 우선순위를 강조한다.
데일리이슈 관점에서 백업 점검의 진짜 지표는 복사본 개수가 아니라 복원에 걸리는 시간이다. 오늘 PC가 잠겼다고 가정하고, 어떤 장비에서 어떤 계정으로 어떤 파일부터 30분 안에 열 수 있는지 실제로 시험해 본다. 국내에서 피해가 나면 한국인터넷진흥원(KISA) 보호나라나 118 상담센터로 신고·상담할 수 있다.
실행 체크리스트
- 중요 파일을 매출, 고객, 법무·세무, 운영, 개인자료로 분류한다.
- 클라우드 동기화와 오프라인 백업을 구분해 보관한다.
- 월 1회 무작위 파일 복원 테스트를 하고 걸린 시간을 적는다.
- 관리자 계정 MFA와 백업 계정 비밀번호를 별도로 관리한다.
- 감염 의심 시 네트워크 차단, 전원 유지 여부, 신고 경로를 문서화한다.
권한, 요금, 보관기간, 삭제·복구 조건처럼 바뀔 수 있는 값은 배포나 계정 변경 직전에 다시 확인해야 한다.
한계와 주의사항
백업이 있어도 복구가 항상 쉽지는 않다. 공격자가 백업 계정을 먼저 장악했거나, 오래된 백업만 남았거나, 법적 통지와 고객 안내가 필요한 경우 업무 중단은 길어질 수 있다. 비용을 내고 복호화를 시도하는 문제는 법률, 보험, 수사기관, 보안 전문가와 함께 판단해야 한다.
함께 보면 좋은 글
IT 카테고리와 #랜섬웨어, #백업복구 태그에 관련 글을 더 모아 뒀다. 이어서 볼 글: Google API key revocation와 Starlette AI agent vulnerability.
출처와 참고
확인한 보도: CISA StopRansomware Guide, NIST Cybersecurity Framework
태그: #랜섬웨어 #백업복구 #보안운영 #CISA #데이터보호