
랜섬웨어 감염 컴퓨터, 지금 꺼야 할까?전원보다 먼저 해야 할 60초 대응
파일 이름이 낯선 확장자로 바뀌고 화면에 금전을 요구하는 문구가 나타나면 손은 본능적으로 전원 버튼을 향합니다. 하지만 랜섬웨어 사고에서는 ‘켜둘 것인가, 끌 것인가’보다 먼저 판단해야 할 것이 있습니다. 바로 다른 컴퓨터와 저장장치로 이어지는 연결을 끊는 일입니다.
네트워크를 분리할 수 있다면 전원을 유지한 채 증거를 보존하는 편이 유리할 수 있습니다. 반대로 암호화가 계속되고 네트워크 격리도 불가능하다면 추가 피해를 막기 위해 전원 종료를 고려해야 합니다. 같은 랜섬웨어 화면이라도 환경에 따라 답이 달라지는 이유입니다.
이 글은 개인용 컴퓨터, 소상공인 사무실, 공유폴더와 저장장치가 연결된 업무 환경을 나누어 설명합니다. 무엇을 먼저 끊고, 어떤 증거를 남기며, 어느 시점에 복구업체나 한국인터넷진흥원에 도움을 요청해야 하는지 순서대로 확인할 수 있습니다.
기억할 문장은 하나입니다. 전원 버튼보다 먼저 연결부터 끊으세요. 🔌
한눈에 보기
- 이 글이 필요한 사람: 랜섬노트, 열리지 않는 파일, 갑작스러운 확장자 변경을 발견한 개인 사용자·소상공인·기업 담당자
- 해결하는 문제: 컴퓨터를 바로 꺼야 하는지, 무엇을 먼저 분리해야 하는지, 어떤 기록을 보존해야 하는지 판단
- 읽고 나면: 첫 60초 대응을 실행하고 직접 대응이 가능한 범위와 전문가가 필요한 범위를 구분할 수 있습니다.
목차

읽기 전에 확인하세요: 랜섬웨어 대응의 한계
랜섬웨어 사고는 감염된 운영체제, 연결된 장비, 업무 중요도, 개인정보 저장 여부에 따라 대응이 달라집니다. 이 글은 초기 피해 확산을 줄이기 위한 일반적인 판단 기준이며, 개별 장비의 복구 가능성이나 법적 신고 의무를 확정하지 않습니다.
병원, 쇼핑몰, 회계·결제 시스템, 생산설비, 서버처럼 중단 비용이 큰 환경에서는 임의로 종료하거나 재가동하지 말고 보안 담당자와 시스템 운영자에게 먼저 알리세요. 개인정보 유출이나 외부 반출 정황이 있다면 파일 복구와 별도로 신고·통지 여부를 검토해야 합니다.
가장 안전한 기본 원칙
감염 장비를 네트워크에서 격리하고, 추가 클릭·재부팅·백신 치료·포맷을 멈춘 뒤 화면과 발견 시각을 기록하세요. 네트워크 격리가 불가능할 때에만 전원 종료를 우선 검토합니다.
미국 사이버보안 및 인프라 보안국의 랜섬웨어 대응 지침도 영향을 받은 시스템을 즉시 격리하고, 네트워크에서 분리할 수 없을 때 추가 확산을 피하기 위해 전원을 끄도록 안내합니다. 다만 전원을 끄면 휘발성 메모리에 남아 있던 분석 증거가 사라질 수 있다고 함께 경고합니다.
생명과 물리적 안전은 증거 보존보다 먼저입니다
컴퓨터에서 연기, 탄 냄새, 비정상적인 발열이나 배터리 팽창이 발견됐다면 사이버 증거보다 사람의 안전이 우선입니다. 안전하게 접근할 수 있는 경우 전원을 차단하고, 화재 위험이 있다면 장비에 손대지 말고 적절한 안전 절차를 따르세요.
개인정보 유출은 파일 암호화와 별개의 문제입니다
최근 랜섬웨어는 파일을 잠그기 전에 자료를 외부로 빼낸 뒤 공개하겠다고 협박하는 형태도 사용합니다. 고객, 직원, 회원 정보가 저장된 장비라면 개인정보 유출 대응업체 비용과 선택 기준도 함께 확인해 조사 범위와 계약 조건을 구분하는 편이 좋습니다.
전원보다 먼저, 60초 안에 끊어야 할 연결
랜섬웨어가 한 대의 컴퓨터 안에서만 움직인다는 보장은 없습니다. 공유폴더, 원격접속 계정, 연결된 저장장치, 동기화 프로그램이 열려 있다면 피해 범위는 책상 한 칸을 넘어 사무실 전체로 번질 수 있습니다.
1순위는 유선 랜과 무선 네트워크입니다
- 유선 랜 케이블을 뽑습니다. 벽면이나 공유기보다 감염 컴퓨터에 꽂힌 케이블을 먼저 분리하면 대상을 혼동할 가능성이 줄어듭니다.
- 와이파이를 끕니다. 작업표시줄이나 운영체제 설정에서 무선 연결을 해제합니다. 메뉴가 반응하지 않으면 공유기 비밀번호 변경보다 감염 장비의 전원 판단을 먼저 하세요.
- 원격접속과 가상사설망 연결을 끊습니다. 회사 내부망에 연결된 원격근무 컴퓨터라면 사내 담당자에게 즉시 알립니다.
- 외장하드와 이동식 저장장치를 분리합니다. 분리한 장치는 다른 컴퓨터에 연결하지 말고 감염 시각과 함께 표시해 둡니다.
- 공유 저장장치를 확인합니다. 다른 정상 장비에서 저장장치의 네트워크 연결을 차단하되, 감염 컴퓨터로 관리 화면을 열지 않습니다.
첫 60초 격리 흐름
랜선을 뽑고 와이파이와 원격접속을 끊습니다.
외장하드와 이동식 저장장치를 분리합니다.
화면, 확장자, 발견 시각을 휴대전화로 촬영합니다.
암호화 진행과 격리 가능성을 보고 전원을 결정합니다.
외장하드는 분리하되 다른 PC에 꽂지 마세요
백업 상태가 궁금하다는 이유로 외장하드를 깨끗한 컴퓨터에 곧바로 연결하면 감염 여부를 확인하기도 전에 새로운 장비를 위험에 노출할 수 있습니다. 외장하드에는 ‘감염 컴퓨터에 연결돼 있었음’이라고 표시하고, 검사와 복구는 격리된 분석 환경에서 진행하세요.
데이터베이스나 업무 프로그램이 외장 저장장치에서 실행 중이었다면 단순 분리로 파일이 손상될 가능성도 있습니다. 이런 환경에서는 시스템 운영자 또는 대응업체가 서비스 상태와 저장장치 쓰기 작업을 확인한 뒤 조치하는 편이 안전합니다.
인터넷만 끊으면 컴퓨터를 계속 써도 될까요?
아닙니다. 네트워크 분리는 확산 경로를 줄일 뿐, 컴퓨터 내부에서 실행 중인 암호화나 정보 수집을 자동으로 멈추지는 않습니다. 문서를 열어보고 프로그램을 종료하거나 백신을 설치하는 행동도 증거를 덮어쓸 수 있으므로 격리 후에는 조작을 최소화하세요.
독자 체크포인트
연결을 끊었다면 키보드와 마우스에서도 손을 떼세요. 격리 이후의 목적은 ‘정상 사용’이 아니라 ‘추가 피해와 증거 훼손을 멈추는 것’입니다.
컴퓨터를 꺼야 할 때와 켜둬야 할 때
전원을 무조건 끄라는 조언과 절대 끄지 말라는 조언은 모두 불완전합니다. 판단의 축은 네트워크 격리 가능성, 암호화 진행 여부, 다른 장비로의 확산 정황, 전문 대응 인력의 접근 가능성입니다.
| 현재 상황 | 우선 판단 | 이유와 주의사항 |
|---|---|---|
| 랜선과 와이파이를 끊을 수 있고 회사 대응팀이 곧 확인할 수 있음 | 전원을 유지하고 조작 중지 | 메모리, 실행 프로세스, 접속 흔적을 보존할 가능성이 큽니다. |
| 네트워크 격리는 됐지만 파일 이름이 계속 바뀌거나 암호화가 진행됨 | 담당자에게 즉시 알리고 종료 여부 판단 | 로컬 파일 피해와 휘발성 증거 보존 사이의 선택이 필요합니다. |
| 네트워크를 분리할 수 없고 공유폴더나 다른 PC까지 피해가 번짐 | 전원 종료를 우선 고려 | 확산 차단이 증거 보존보다 시급할 수 있습니다. |
| 화면은 멈췄지만 디스크 작업과 파일 변경이 계속됨 | 암호화 진행으로 보고 대응 | 랜섬노트가 나타났다고 모든 암호화가 끝났다고 볼 수 없습니다. |
| 서버·병원·생산설비·결제 시스템 | 개인 판단으로 종료하지 않음 | 서비스 중단과 데이터 손상 위험이 있어 운영자와 보안 담당자의 공동 판단이 필요합니다. |
네트워크 분리가 가능하다면 전원 유지가 유리할 수 있습니다
기업 대응팀이나 디지털 포렌식 담당자가 곧 장비를 확인할 수 있다면 네트워크를 끊은 상태로 전원을 유지하는 선택이 흔히 사용됩니다. 실행 중인 악성 프로세스, 메모리 속 접속 정보, 암호화 키와 관련된 흔적이 남아 있을 가능성 때문입니다.
다만 ‘켜둔다’는 말은 계속 사용하라는 뜻이 아닙니다. 파일 탐색기를 열거나 랜섬노트를 복사하고, 백신 검사를 시작하거나 시스템 정보를 뒤지는 행동은 피해야 합니다.
격리가 불가능하고 확산 중이라면 종료를 고려합니다
무선 연결을 끌 수 없고 네트워크 장비에도 접근할 수 없으며, 다른 컴퓨터의 공유파일까지 연속해서 열리지 않는다면 확산 차단이 우선입니다. 정상 종료가 가능하면 종료 절차를 사용하되, 화면이 반응하지 않고 피해가 빠르게 번진다면 전원 버튼을 길게 눌러 강제 종료하는 선택이 필요할 수 있습니다.
강제 종료는 파일시스템 손상과 메모리 증거 소실 위험이 있습니다. 따라서 ‘당황해서 먼저 하는 기본 행동’이 아니라 ‘다른 격리 방법이 없을 때 사용하는 마지막 차단 수단’으로 이해하는 편이 정확합니다.
절전 모드와 노트북 덮개 닫기는 격리가 아닙니다
노트북 덮개를 닫으면 설정에 따라 절전 모드로 들어가거나 화면만 꺼질 수 있습니다. 네트워크 연결과 실행 프로세스가 완전히 중지됐다고 단정할 수 없으므로 덮개를 닫는 행동을 전원 종료나 네트워크 격리의 대안으로 사용하지 마세요.
조금 더 깊이 알고 싶다면
컴퓨터 메모리는 전원이 공급되는 동안만 정보를 유지하는 휘발성 저장공간입니다. 악성 프로그램의 실행 상태, 네트워크 연결, 일부 인증 정보와 암호화 작업 흔적이 메모리에 남을 수 있습니다.
전원을 끄면 이러한 정보가 사라지지만 디스크의 파일과 로그는 남습니다. 반대로 전원을 계속 켜두면 암호화가 진행되거나 악성코드가 흔적을 지울 가능성도 있습니다. 그래서 사고 대응에서는 ‘항상 보존’보다 ‘확산 위험과 증거 가치의 균형’을 판단합니다.
짧은 이야기: 전원 버튼 앞에서 멈춘 5분
작은 설계사무소에서 도면 파일의 확장자가 갑자기 바뀌기 시작했습니다. 첫 화면을 본 직원은 컴퓨터 전원을 끄려 했지만, 옆자리 동료가 먼저 랜선을 뽑고 사내 담당자에게 전화를 걸었습니다.
담당자는 감염 컴퓨터를 건드리지 않게 한 뒤 공유 저장장치의 연결부터 차단했습니다. 확인 결과 다른 컴퓨터 한 대에서도 같은 계정으로 공유폴더에 접근한 흔적이 발견됐지만, 저장장치 전체가 암호화되기 전에 연결을 막을 수 있었습니다.
전원을 바로 끄지 않은 덕분에 대응업체는 실행 중이던 악성 프로세스와 최초 실행 파일의 위치를 확인할 수 있었습니다. 그렇다고 모든 파일이 복구된 것은 아니었습니다. 일부 작업물은 백업본으로 되돌려야 했고, 원격접속 계정도 전부 재설정했습니다.
이 사례의 교훈은 극적인 기술이 아닙니다. 첫 행동의 순서가 중요하다는 것입니다. 연결을 끊고, 기록하고, 담당자에게 알리는 몇 분이 성급한 재부팅보다 더 많은 선택지를 남깁니다.
전원을 끄면 사라질 수 있는 증거
암호화된 파일만 보존하면 사고 분석에 충분하다고 생각하기 쉽습니다. 실제로는 어떤 프로그램이 실행됐고, 어느 계정이 접속했으며, 어떤 서버와 통신했는지를 보여주는 흔적이 원인 규명에 더 중요할 수 있습니다.
메모리에 남을 수 있는 실행 흔적
- 실행 중인 악성 프로세스와 관련 프로그램
- 연결 중이거나 직전에 연결된 외부 주소
- 암호화 작업에 사용된 일부 임시 정보
- 로그인 세션과 원격접속 흔적
- 파일을 열거나 변경 중인 프로그램 상태
이 정보는 장비를 켠 상태에서 전문 도구로 수집해야 하는 경우가 많습니다. 개인 사용자가 직접 작업 관리자나 명령어를 실행해 조사하려 하면 오히려 상태가 변할 수 있으므로, 화면 촬영과 네트워크 격리 이상은 신중해야 합니다.
재부팅하면 악성코드가 달라질 수 있습니다
일부 악성 프로그램은 재부팅 후 자동 삭제되거나 다른 위치에서 다시 실행될 수 있습니다. 시작 프로그램, 예약 작업, 원격관리 도구가 활성화되면서 추가 파일이 내려받아질 가능성도 있어 ‘한 번 껐다 켜면 괜찮아지지 않을까’라는 기대는 위험합니다.
부팅 화면이 정상으로 돌아와도 암호화된 파일이 복구되거나 계정 탈취가 해소된 것은 아닙니다. 정상처럼 보이는 화면은 사고가 끝났다는 증거가 아니라, 눈앞의 경고창이 사라졌다는 사실만 알려줍니다.
화면을 휴대전화로 촬영하는 이유
감염 컴퓨터에서 화면 캡처 파일을 저장하면 디스크에 새로운 데이터가 기록됩니다. 대신 깨끗한 휴대전화로 랜섬노트, 오류 메시지, 변경된 확장자, 화면의 날짜와 시간을 촬영하세요. 랜섬노트에 피해자 식별번호가 있다면 전체가 보이도록 남기되 공개 게시판에는 올리지 않는 편이 안전합니다.
실수 방지 메모
증거 보존은 랜섬노트를 인쇄하거나 파일을 여러 곳에 복사하는 일이 아닙니다. 감염 장비의 상태를 가능한 한 바꾸지 않고, 외부 기기로 현재 모습을 기록하는 일입니다.
개인 PC와 회사 PC의 대응이 달라지는 지점
집에서 혼자 사용하는 컴퓨터와 회사 업무망에 연결된 컴퓨터는 같은 화면이 떠도 피해 반경이 다릅니다. 개인 PC는 연결 장치와 온라인 계정을 중심으로 살펴야 하고, 회사 PC는 조직 전체의 계정·서버·신고 체계를 함께 움직여야 합니다.
| 환경 | 먼저 확인할 대상 | 피해야 할 행동 | 도움을 요청할 곳 |
|---|---|---|---|
| 가정용 개인 PC | 외장하드, 공유기, 클라우드 동기화, 이메일 계정 | 백업 장치 재연결, 포맷, 복호화 도구 무작정 실행 | 백신 업체 지원, 복구 전문가, KISA 118 상담 |
| 소상공인 사무실 | 공유폴더, 저장장치, 회계·결제 PC, 원격접속 | 직원별로 제각각 재부팅하거나 백신 치료 | 보안업체, 시스템 유지보수 업체, KISA 신고·상담 |
| 기업 업무망 | 관리자 계정, 서버, 가상사설망, 로그, 백업망 | 개인이 임의로 종료·삭제·비밀번호 일괄 변경 | 사내 보안팀, 침해사고 대응업체, 법무·개인정보 담당자 |
| 클라우드·가상서버 | 보안그룹, 접근키, 스냅샷, 감사 로그 | 가상서버를 무작정 삭제하거나 초기화 | 클라우드 관리자, 전문 대응업체, 서비스 제공자 |
개인 사용자는 연결된 계정까지 살펴야 합니다
인터넷뱅킹 비밀번호부터 바꾸는 것보다 먼저 감염 컴퓨터를 격리하세요. 그다음 깨끗한 휴대전화나 다른 컴퓨터에서 이메일, 클라우드 저장소, 원격접속 계정의 비밀번호를 변경하고 기존 로그인 세션을 종료합니다.
다중인증을 새로 설정하더라도 복구 이메일과 전화번호가 공격자 정보로 변경되지 않았는지 확인해야 합니다. 회사 이메일이 연관됐다면 회사 이메일 계정 탈취 시 우선 대응 순서를 참고해 전달 규칙과 로그인 기록도 점검하세요.
회사 컴퓨터는 개인 판단으로 종료하기 전에 보고합니다
회사에서는 한 대의 PC보다 그 PC가 사용한 계정과 접근 권한이 더 큰 문제일 수 있습니다. 직원이 임의로 포맷하면 원인을 확인할 로그가 사라지고, 다른 장비에서 같은 계정을 계속 사용해 공격자가 다시 들어올 수 있습니다.
- 보안·전산 담당자에게 발견 시각과 현재 화면을 전달합니다.
- 감염 컴퓨터의 사내 자산번호와 사용자 계정을 기록합니다.
- 같은 계정을 사용하는 다른 PC와 원격접속 환경을 확인합니다.
- 공유 저장장치와 백업 시스템을 운영망에서 분리합니다.
- 직원들에게 랜섬노트 링크나 의심 파일을 열지 않도록 공지합니다.
쇼핑몰과 웹사이트는 관리자 계정 침해도 확인합니다
랜섬웨어가 서버나 관리자 PC에서 시작됐다면 결제·회원정보·웹사이트 관리자 계정까지 영향을 받았는지 살펴야 합니다. 쇼핑몰 운영자는 쇼핑몰 관리자 계정 해킹 대응 절차를 함께 검토해 관리자 세션과 외부 앱 권한을 점검할 필요가 있습니다.
가상서버는 전원보다 스냅샷과 네트워크 정책이 먼저입니다
클라우드 환경에서는 물리적인 전원 코드 대신 네트워크 보안정책으로 외부·내부 통신을 차단할 수 있습니다. 현재 상태의 디스크 스냅샷과 감사 로그를 보존한 뒤 격리된 복제 환경에서 분석하는 방식이 사용되지만, 스냅샷 생성 자체가 비용과 데이터 일관성에 영향을 줄 수 있으므로 관리자 판단이 필요합니다.
급할수록 피해를 키우는 흔한 실수
랜섬웨어 사고에서 두 번째 피해는 공격자가 아니라 사용자의 성급한 복구 행동에서 시작되기도 합니다. 정상으로 되돌리고 싶은 마음은 자연스럽지만, 복구 순서가 뒤집히면 원본과 증거를 동시에 잃을 수 있습니다.
| 흔한 행동 | 생길 수 있는 문제 | 더 안전한 대안 |
|---|---|---|
| 랜섬노트의 링크를 감염 PC에서 열기 | 추가 악성코드 실행, 공격자와 불필요한 통신 | 화면만 촬영하고 담당자에게 전달 |
| 백업을 확인하려고 외장하드 연결 | 정상 백업까지 암호화되거나 감염 | 분리 상태를 유지하고 격리 환경에서 검사 |
| 백신 치료부터 실행 | 분석 대상 파일과 실행 흔적 삭제 | 증거 수집 또는 디스크 복제 후 치료 |
| 파일 확장자를 원래대로 변경 | 암호화는 풀리지 않고 파일 식별만 어려워짐 | 원본 이름과 확장자를 그대로 보존 |
| 복호화 프로그램을 원본에 바로 적용 | 도구 오류나 잘못된 종류 선택으로 파일 손상 | 복제본에서 소수 파일로 먼저 검증 |
| 여러 번 재부팅 | 로그와 메모리 흔적 소실, 자동 실행 재개 | 한 번 격리한 뒤 추가 조작 중지 |
| 바로 포맷 | 복구 가능성과 침입 원인 확인 기회 상실 | 필요한 증거와 데이터 복제 후 재설치 판단 |
랜섬노트의 연락처로 바로 협상하지 마세요
공격자가 제시한 채팅 주소나 이메일로 연락하면 피해자 식별 정보와 대응 상황이 전달될 수 있습니다. 회사 사고라면 보험, 법무, 보안 담당자의 검토 없이 개인이 협상하거나 금전을 보내지 마세요.
대금을 보낸다고 복호화 도구가 제공되거나 데이터가 삭제된다는 보장은 없습니다. 국제 공조 프로젝트인 노 모어 랜섬도 금전을 보내는 것이 복호화 키 확보를 보장하지 않는다고 안내합니다.
파일 이름과 확장자는 그대로 보존합니다
확장자를 원래대로 바꿔도 파일 내부의 암호화된 데이터는 변하지 않습니다. 오히려 랜섬웨어 종류를 식별할 단서가 사라지고, 어떤 파일이 피해를 입었는지 구분하기 어려워질 수 있습니다.
워드프레스까지 감염됐다면 PC와 서버를 따로 봅니다
관리자 PC의 랜섬웨어와 웹서버의 악성코드는 동시에 발생할 수 있지만 동일한 복구 작업으로 해결되지 않습니다. 웹사이트 파일, 데이터베이스, 관리자 계정, 서버 로그를 별도로 점검해야 하며, 범위와 견적을 비교할 때는 워드프레스 악성코드 제거 비용 기준도 참고할 수 있습니다.
복구 전에 멈춰야 할 세 가지
포맷하지 않기, 백업을 다시 연결하지 않기, 원본 파일에 복호화 도구를 바로 실행하지 않기. 이 세 가지만 지켜도 복구 선택지를 지킬 가능성이 커집니다.

무료 복구 도구와 유료 대응업체를 선택하는 기준
랜섬웨어 복구 비용은 파일 개수만으로 정해지지 않습니다. 감염 장비 수, 서버와 저장장치 구조, 백업 상태, 외부 유출 조사, 현장 출동, 긴급 복구, 포렌식 보고서 포함 여부에 따라 견적 차이가 커집니다.
직접 해결해도 되는 범위
중요하지 않은 개인용 PC 한 대가 감염됐고, 검증된 오프라인 백업이 있으며, 개인정보와 업무자료가 없고, 운영체제를 완전히 재설치해도 괜찮다면 직접 복구를 고려할 수 있습니다. 이 경우에도 백업 장치를 연결하기 전에 감염 PC를 초기화하고 보안 업데이트와 계정 변경을 완료해야 합니다.
무료 복호화 도구를 사용할 수 있는 경우
일부 랜섬웨어는 수사기관과 보안업체가 확보한 키나 취약한 암호화 방식 덕분에 무료 복호화 도구가 제공됩니다. 먼저 랜섬노트와 암호화 파일 표본으로 종류를 식별하고, 도구가 정확히 일치하는지 확인해야 합니다.
한국인터넷진흥원도 일부 복구 도구를 안내하면서 중요한 파일은 반드시 복사본으로 시도하도록 권고합니다. 노 모어 랜섬의 식별 도구와 복호화 도구 목록도 참고할 수 있지만, 원본 전체에 즉시 적용하지 말고 격리된 복제본과 소수 파일로 검증하세요.
대응 방식별 비용과 범위 비교
| 선택지 | 적합한 상황 | 포함 여부를 확인할 항목 | 주의할 점 |
|---|---|---|---|
| 직접 초기화·백업 복원 | 개인 PC 한 대, 안전한 백업 보유, 중요 증거 불필요 | 운영체제 재설치, 계정 변경, 백업 검사 | 침입 원인이 남으면 재감염될 수 있음 |
| 원격 초기 진단 | 감염 범위가 작고 네트워크 격리가 완료됨 | 악성코드 식별, 복구 가능성, 작업 범위 | 감염 PC에 원격 연결을 재개하지 않도록 방식 확인 |
| 데이터 복구 서비스 | 백업이 없고 중요한 문서가 암호화됨 | 복제본 생성, 성공 조건, 실패 시 비용, 원본 보존 | 복구율 보장 표현과 선결제 요구를 주의 |
| 침해사고 대응·포렌식 | 다중 장비, 서버, 개인정보, 외부 유출 가능성 | 원인 분석, 로그 수집, 계정 조사, 보고서, 재발 방지 | 단순 파일 복구와 조사 비용을 구분 |
| 법률·신고 지원 포함 대응 | 고객정보, 거래정보, 계약상 통지 의무가 있는 조직 | 신고 판단, 통지 문안, 증거 관리, 이해관계자 대응 | 보안업체와 법률 자문 범위가 어디까지인지 확인 |
복구업체에 견적을 받을 때 물어볼 질문
- 원본 디스크를 보존하고 복제본에서 작업합니까?
- 초기 진단 비용과 실제 복구 비용이 분리돼 있습니까?
- 복구 실패 시 청구되는 비용은 어디까지입니까?
- 파일 복구 외에 침입 경로와 계정 탈취도 조사합니까?
- 외부 반출 여부를 확인할 로그 분석이 포함됩니까?
- 업무망을 다시 연결할 수 있는 기준을 문서로 제공합니까?
- 작업 중 열람하는 개인정보와 기밀자료는 어떻게 보호합니까?
- 랜섬웨어 공격자와의 협상이나 금전 지급을 권하는 경우 근거와 위험을 설명합니까?
비용을 낭비하지 않는 기준
‘파일을 살릴 수 있다’는 말보다 원본 보존 방식, 실패 시 비용, 원인 분석 범위, 재가동 기준을 먼저 비교하세요. 복구와 재발 방지는 서로 다른 작업입니다.
격리 직후 남겨야 할 사고 기록과 신고 준비
사고가 지나간 뒤 사람의 기억은 생각보다 빠르게 흐려집니다. 최초 발견 시각과 직전 행동처럼 사소해 보이는 정보가 감염 경로를 좁히는 결정적 단서가 될 수 있으므로 격리 직후 한 장의 기록을 만드세요.
사고 기록표에 적을 내용
| 기록 항목 | 적어둘 내용 |
|---|---|
| 최초 발견 시각 | 날짜와 시각, 누가 어떤 화면을 처음 봤는지 |
| 최초 증상 | 랜섬노트, 파일 오류, 확장자 변경, 느려짐, 재부팅 여부 |
| 직전 행동 | 열어본 이메일, 내려받은 파일, 설치한 프로그램, 원격접속 |
| 변경된 확장자 | 철자와 대소문자를 포함해 그대로 기록 |
| 연결 장치 | 외장하드, 이동식 저장장치, 휴대전화, 프린터, 저장장치 |
| 네트워크 자원 | 공유폴더, 서버, 저장장치, 클라우드 동기화 폴더 |
| 영향받은 계정 | 윈도우 계정, 이메일, 관리자, 원격접속, 클라우드 계정 |
| 실행한 조치 | 랜선 분리, 와이파이 차단, 전원 종료, 백신 실행 여부 |
비밀번호는 깨끗한 기기에서 변경합니다
감염 컴퓨터에서 새 비밀번호를 입력하면 키 입력을 가로채는 악성코드에 다시 노출될 수 있습니다. 먼저 이메일과 관리자 계정처럼 다른 계정을 재설정할 수 있는 핵심 계정부터 변경하고, 모든 기존 세션을 종료한 뒤 다중인증과 복구 정보를 확인하세요.
회사에서는 비밀번호 일괄 변경이 로그 분석과 업무에 영향을 줄 수 있으므로 보안 담당자의 순서에 맞춰 진행해야 합니다. 공격자가 사용한 계정과 토큰을 폐기하지 않은 채 비밀번호만 바꾸면 접속이 유지되는 경우도 있습니다.
KISA 신고와 원인분석 지원을 확인할 상황
여러 PC와 서버가 동시에 피해를 입었거나, 고객정보가 저장된 기업 시스템이 영향을 받았거나, 데이터 공개 협박이 포함됐다면 한국인터넷진흥원 보호나라의 침해사고 신고 및 상담 절차를 확인하세요. 보호나라는 신고 접수 후 사실 확인 절차를 안내하며, 기술지원에 동의한 경우 증거데이터 수집과 원인분석, 후속 지원 절차를 운영하고 있습니다.
기업의 신고 의무는 업종, 서비스 성격, 사고 내용과 관련 법률에 따라 달라질 수 있습니다. 개인이 임의로 신고 여부를 단정하기보다 보안·개인정보·법무 담당자와 공식 기관에 최신 기준을 확인하세요. 해킹·스팸·개인정보침해 상담은 국번 없이 118을 통해 안내받을 수 있습니다.
업무망을 다시 연결하기 전 확인할 조건
- 최초 침입 경로 또는 취약한 계정이 제거됐는지 확인합니다.
- 감염 장비를 초기화하거나 검증된 방식으로 치료했는지 확인합니다.
- 관리자·이메일·원격접속 계정과 인증 정보를 재설정합니다.
- 백업본이 감염 시점 이전의 정상 자료인지 검사합니다.
- 운영체제와 업무 프로그램의 보안 업데이트를 적용합니다.
- 공유폴더와 저장장치 권한을 필요한 범위로 줄입니다.
- 복구 후 일정 기간 로그인과 파일 변경 로그를 집중 점검합니다.
한국인터넷진흥원은 백신이 악성코드 감염 예방과 치료에는 도움을 줄 수 있지만 이미 암호화된 문서를 복호화하는 것은 아니라고 안내합니다. 백신 경고가 사라졌다는 사실만으로 파일 복구와 안전한 재연결이 완료됐다고 판단하지 마세요.
자주 묻는 질문
랜섬웨어 화면이 떴지만 파일은 열립니다. 전원을 꺼야 하나요?
파일이 열린다고 감염이 끝났다고 볼 수 없습니다. 일부 폴더만 암호화 중이거나 자료 외부 반출 단계일 수 있으므로 먼저 네트워크와 외장 저장장치를 분리하세요. 격리 후 파일을 추가로 열어보지 말고 파일 이름이 계속 바뀌는지, 다른 컴퓨터에도 증상이 있는지 담당자가 확인하도록 합니다.
암호화가 끝난 것 같으면 인터넷을 다시 연결해도 되나요?
연결하면 안 됩니다. 암호화가 멈춘 것처럼 보여도 공격자 서버와 통신하거나 다른 장비를 공격하는 기능이 남아 있을 수 있습니다. 악성코드 제거, 계정 재설정, 백업 검사와 재연결 기준 확인이 끝날 때까지 격리를 유지하세요.
랜선만 뽑은 뒤 컴퓨터를 계속 사용해도 되나요?
랜선을 뽑는 것은 첫 조치일 뿐 사용 허가가 아닙니다. 컴퓨터 내부에서 암호화와 정보 수집이 계속될 수 있으며, 사용자가 만든 새 파일도 피해를 입을 수 있습니다. 화면을 촬영하고 추가 조작을 중지한 뒤 대응 방향을 정하세요.
와이파이를 끌 수 없는 데스크톱은 전원 코드를 뽑아도 되나요?
유선 랜을 뽑고 무선 연결도 차단할 수 없으며 다른 장비로 피해가 퍼지는 긴급 상황이라면 전원 종료를 고려할 수 있습니다. 가능하면 운영체제의 정상 종료를 사용하고, 화면이 멈춘 상태에서 확산이 계속될 때만 강제 종료를 검토하세요. 강제 종료는 증거와 파일시스템을 손상시킬 수 있습니다.
감염된 노트북을 절전 모드로 두면 확산이 멈추나요?
절전 모드는 신뢰할 수 있는 격리 방법이 아닙니다. 장치 설정과 절전 해제 조건에 따라 네트워크가 다시 연결될 수 있고, 덮개를 닫았다고 완전히 종료됐다고 볼 수도 없습니다. 네트워크를 명시적으로 차단하고 전원 상태를 별도로 결정하세요.
외장하드가 연결돼 있었다면 모든 파일이 감염된 건가요?
모든 파일이 반드시 암호화됐다고 단정할 수는 없지만 감염 가능성이 있는 장치로 취급해야 합니다. 다른 컴퓨터에 바로 연결하지 말고, 격리된 환경에서 악성코드 검사와 파일 상태 확인을 진행하세요. 정상 파일이 남아 있어도 원본 보존을 위해 먼저 복제하는 편이 안전합니다.
백신이 랜섬웨어를 삭제했다면 복구를 시작해도 되나요?
백신이 실행 파일을 삭제했다고 암호화된 문서가 복원되거나 침입 경로가 제거되는 것은 아닙니다. 먼저 백업 상태와 계정 침해, 공유망 영향을 확인하고, 중요한 자료는 원본 복제본을 만든 뒤 복구 도구를 시험하세요.
포맷하면 랜섬웨어와 정보 유출 문제가 모두 해결되나요?
포맷은 감염된 운영체제를 제거하는 데 도움이 될 수 있지만 이미 외부로 반출된 정보, 탈취된 계정, 감염된 다른 장비까지 해결하지는 못합니다. 원인과 피해 범위를 확인하지 않고 포맷하면 재감염 경로를 남기거나 신고 판단에 필요한 증거를 잃을 수 있습니다.
복구업체 비용은 무엇을 기준으로 비교해야 하나요?
가장 싼 총액보다 작업 범위를 비교하세요. 원본 복제, 악성코드 제거, 파일 복구, 침입 경로 조사, 외부 유출 확인, 계정 재설정, 보고서와 재감염 방지 지원이 각각 포함되는지 확인해야 합니다. 성공률 보장이나 즉시 송금을 강하게 요구하는 업체는 신중하게 검토하세요.
지금 15분 안에 해야 할 일
깨끗한 휴대전화로 한 장의 사고 메모를 만드세요
지금 할 일은 복호화 프로그램을 찾는 것이 아닙니다. 휴대전화 메모에 발견 시각, 랜섬노트 내용, 변경된 파일 확장자, 연결돼 있던 장치, 영향을 받은 것으로 보이는 계정을 적으세요. 화면과 케이블 연결 상태도 촬영합니다.
그리고 더 이상 감염 컴퓨터를 조작하지 마세요
- 랜선과 와이파이를 차단합니다.
- 외장하드와 이동식 저장장치를 분리해 따로 보관합니다.
- 암호화가 계속되는지와 다른 장비의 피해 여부를 확인합니다.
- 회사 장비라면 담당자에게 기록을 전달합니다.
- 개인 장비라면 깨끗한 기기에서 핵심 계정을 보호하고 KISA 118 상담을 준비합니다.
전원을 켜둘지 끌지는 환경에 따라 달라지지만, 연결을 끊고 기록을 남겨야 한다는 원칙은 달라지지 않습니다. 랜섬웨어 앞에서 가장 값비싼 행동은 빠른 행동이 아니라 순서가 틀린 행동입니다.
최종 검토: 2026-07