
중소기업 랜섬웨어 복구 비용,
견적서보다 먼저 지켜야 할 것
파일 서버의 문서가 갑자기 열리지 않고, NAS 폴더마다 낯선 확장자가 붙어 있다면 마음은 가장 빠른 복구 업체를 찾으라고 재촉합니다. 그러나 이 순간의 성급한 포맷, 백업 연결, 원본 장비 전달은 복구 가능성과 사고 증거를 함께 깎아내릴 수 있습니다.
랜섬웨어 복구 비용은 암호화된 파일 용량만으로 정해지지 않습니다. 저장장치 구조, 데이터베이스와 가상화 서버의 손상 정도, 백업 상태, 포렌식 조사 범위, 시스템 재구축과 업무 중단 시간이 한 견적서 안에서 서로 다른 이름으로 움직입니다.
이 글은 ‘얼마인가’라는 질문에서 한 걸음 더 나아갑니다. 원본 데이터를 훼손하지 않고 업체를 비교하는 방법, 싼 견적 뒤에 숨은 조건, 복구와 침해사고 대응을 구분하는 기준을 차분히 정리합니다.
복구의 첫 단추는 프로그램 실행이 아니라, 더 이상 상황을 바꾸지 않는 것입니다. 🔒
한눈에 보기
- 누구를 위한 글인가: PC, NAS, 파일 서버, ERP 또는 백업 장비가 암호화되어 긴급 견적을 비교하는 중소기업 담당자
- 어떤 문제를 해결하는가: 복구비가 달라지는 이유와 데이터 복구·포렌식·시스템 재구축의 차이를 설명합니다.
- 읽은 뒤 할 수 있는 일: 원본을 보존하면서 동일한 조건으로 2~3개 업체에 서면 견적을 요청하고, 위험한 계약을 걸러낼 수 있습니다.
목차
복구 업체를 찾기 전에 확인할 안전 기준
읽기 전에 확인하세요
이 글은 일반적인 비용 비교와 초기 대응 기준을 제공합니다. 실제 복구 가능성, 개인정보 유출 여부, 신고·통지 의무, 보험 보상과 계약 책임은 시스템 구조와 사고 정황에 따라 달라집니다. 중요한 판단은 디지털 포렌식 전문가, 법률 전문가, 보험사 또는 공식 기관을 통해 확인하세요.
공격이 진행 중이면 비용 비교보다 격리가 먼저다
파일 이름이 계속 바뀌거나 다른 컴퓨터에서도 같은 증상이 나타난다면 암호화가 진행 중일 수 있습니다. 감염이 의심되는 장비의 유선망과 무선망을 차단하고, 공유 저장소와 외장 백업 장치의 추가 연결을 멈추세요.
무조건 전원을 끄는 것이 항상 정답은 아닙니다. 메모리에 남은 접속 정보와 악성 프로그램 흔적이 조사에 필요할 수 있는 반면, 암호화가 계속 진행되는 상황에서는 추가 피해를 차단해야 합니다. 장비 상태에 따른 판단은 랜섬웨어 감염 컴퓨터의 전원 종료 판단 기준을 함께 확인하는 편이 안전합니다.
개인정보 유출 가능성은 파일 복구와 별도로 판단한다
최근 랜섬웨어는 파일을 암호화하기 전에 외부로 반출한 데이터를 공개하겠다고 협박하는 경우가 있습니다. 고객 명단, 직원 인사자료, 주민등록번호, 계좌정보, 의료정보 또는 상담 기록이 저장되어 있었다면 ‘파일이 다시 열리는가’와 ‘정보가 밖으로 나갔는가’를 따로 조사해야 합니다.
복구에 성공했다고 개인정보 유출 문제가 자동으로 사라지는 것은 아닙니다. 개인정보 접근·반출 가능성이 있다면 개인정보보호위원회와 개인정보 포털의 최신 신고 안내를 확인해야 합니다.
원본 장비는 ‘작업 대상’이 아니라 ‘증거’로 취급한다
감염된 디스크에 복구 프로그램을 직접 설치하거나 파일을 복사하면 기존 데이터 영역이 덮어쓰일 수 있습니다. 신뢰할 수 있는 업체는 원본 디스크를 읽기 전용 방식으로 확보하거나 복제본을 만든 뒤, 복제본에서 분석과 복구를 진행합니다.
- 랜섬노트 화면과 파일 확장자를 사진으로 기록합니다.
- 발견 시각과 마지막 정상 사용 시각을 적습니다.
- 로그, 백업, 보안장비 기록을 삭제하거나 정리하지 않습니다.
- 원본 장비를 누구에게 언제 전달했는지 인수인계 기록을 남깁니다.

랜섬웨어 복구 비용이 달라지는 구조
저장장치 복구와 랜섬웨어 복호화는 다른 작업이다
저장장치 복구는 고장 난 하드디스크, 삭제된 파티션, 손상된 파일 구조에서 데이터를 읽어내는 작업입니다. 랜섬웨어 복호화는 악성 프로그램이 적용한 암호화를 분석하고, 사용할 수 있는 키나 복호화 도구가 있는지 판단하는 작업입니다.
디스크가 물리적으로 고장 나면서 파일까지 암호화됐다면 두 작업이 모두 필요할 수 있습니다. 반대로 저장장치는 정상이어도 복호화 키가 없으면 파일 내용만 복원하지 못할 수 있습니다.
PC 한 대와 RAID 서버의 견적 구조가 다른 이유
일부 공개 가격표에서는 단일 저장장치 복구가 수십만 원대부터 안내되기도 합니다. 그러나 NAS·RAID·DB·가상화 서버는 여러 디스크의 배열, 파일 시스템, 가상 디스크, 데이터베이스 정합성을 함께 맞춰야 하므로 진단 시간과 작업 장비가 크게 늘어납니다.
| 환경 | 비용을 좌우하는 요소 | 견적 시 확인할 범위 |
|---|---|---|
| 직원 PC 한 대 | 암호화 유형, 디스크 손상, 파일 수 | 사용자 문서, 메일, 업무 프로그램 데이터 |
| 외장하드·단일 NAS | 파일 시스템, 스냅샷, 백업 상태 | 폴더 구조와 권한 정보 복구 여부 |
| RAID 파일 서버 | 디스크 수, 배열 정보, 장애 디스크 | RAID 재구성, 볼륨 복원, 파일 검증 |
| ERP·회계 DB | 데이터베이스 정합성, 로그 손상 | 프로그램 실행과 거래 데이터 검증 |
| 가상화 서버 | 가상 디스크와 호스트 손상 범위 | 가상머신 부팅, 서비스 연결, 권한 복원 |
데이터 용량보다 구조가 더 비쌀 때가 있다
1테라바이트의 단순 문서 폴더보다 100기가바이트의 회계 데이터베이스가 더 어려울 수 있습니다. 문서는 일부 파일을 샘플로 열어볼 수 있지만, 데이터베이스는 한 줄이라도 연결 관계가 깨지면 프로그램 전체가 정상 작동하지 않을 수 있기 때문입니다.
비용을 아끼는 기준
업체에 “500기가바이트가 암호화됐다”고만 말하지 마세요. 장비 종류, 디스크 수, 운영체제, DB·ERP·가상화 사용 여부, 마지막 정상 백업 시점을 함께 전달해야 불필요한 재진단과 추가 견적을 줄일 수 있습니다.
실제 적용 사례: 같은 2테라바이트라도 비용이 달라진 이유
직원 20명 규모의 한 제조업체에서 파일 서버와 생산관리 프로그램이 동시에 열리지 않는 상황이 발생했다고 가정해 보겠습니다. 담당자는 저장된 데이터가 약 2테라바이트라는 정보만으로 세 곳에 견적을 문의했습니다.
첫 번째 업체는 디스크 용량만 보고 파일 복구 비용을 제시했습니다. 두 번째 업체는 RAID 구성과 데이터베이스 종류를 질문했고, 세 번째 업체는 외부 접속 로그와 백업 서버의 감염 가능성까지 확인했습니다. 숫자만 보면 첫 번째 견적이 가장 저렴했습니다.
그러나 실제 업무를 재개하려면 파일만 꺼내는 것으로 부족했습니다. 생산관리 DB의 정합성 확인, 서버 운영체제 재설치, 계정 비밀번호 초기화, 백업 검증이 필요했습니다. 처음에는 비싸 보였던 두 번째 견적이 오히려 필요한 작업을 가장 정확히 포함하고 있었습니다.
견적의 크기보다 중요한 것은 ‘어떤 상태까지 만들어 주는가’입니다. 복구 파일을 외장하드에 담아주는 것과 직원들이 ERP에 다시 로그인해 업무를 시작할 수 있게 만드는 것은 다른 서비스입니다.
견적서 밖에서 커지는 실제 손실
데이터 복구비보다 업무 중단 손실이 클 수 있다
복구 업체에 지급하는 비용은 눈에 보입니다. 반면 출고 지연, 상담 중단, 주문 누락, 직원 대기 시간과 수작업 전환 비용은 여러 부서에 흩어져 있어 뒤늦게 드러납니다.
업무 중단 손실을 거칠게 계산하려면 시간당 인건비, 중단된 직원 수, 예상 중단 시간, 지연된 매출과 위약 가능성을 따로 적어보세요. 완벽한 회계 계산이 아니어도 어떤 시스템부터 복원해야 하는지 정하는 데 충분히 도움이 됩니다.
복구 뒤에는 재설치와 계정 초기화가 남는다
파일이 돌아와도 서버 운영체제, 업무 프로그램, 보안 패치, 방화벽 정책, 관리자 계정과 원격 접속 설정을 다시 구성해야 할 수 있습니다. 침입에 사용된 계정을 그대로 두면 새로 복원한 시스템이 다시 공격받을 가능성도 배제할 수 없습니다.
재구축 단계에서는 관리자 비밀번호를 개인 메신저나 문서 파일로 다시 공유하지 않는 것이 좋습니다. 여러 직원이 계정을 함께 사용하던 회사라면 기업용 비밀번호 관리 프로그램의 가격과 선택 기준도 함께 검토할 수 있습니다.
포렌식·법률·보험 비용이 추가되는 상황
외부 접속 흔적, 관리자 계정 탈취, 정보 반출 협박이 있다면 침투 경로와 유출 범위를 조사해야 합니다. 고객이나 직원 정보가 관련되면 신고·통지 검토, 안내문 작성, 상담 대응 비용까지 이어질 수 있습니다.
사이버보험에 가입되어 있다면 업체를 선정하거나 비용을 집행하기 전에 보험사 사고 접수 절차를 확인하세요. 보험사가 지정한 대응 업체, 사전 승인, 자기부담금, 증빙 조건이 있을 수 있습니다. 가입을 검토하는 단계라면 중소기업 사이버보험 보험료와 보장 범위를 참고해 복구비 외 비용이 어떻게 다뤄지는지 확인할 수 있습니다.
| 비용 묶음 | 대표 항목 | 예산에서 빠지기 쉬운 부분 |
|---|---|---|
| 데이터 복구 | 진단, 복호화, 디스크·파일 복원 | 샘플 검증, 저장매체, 재작업 비용 |
| 사고 조사 | 로그 분석, 침투 경로, 유출 범위 | 야간 대응, 추가 장비 조사, 보고서 |
| 시스템 재구축 | 서버 설치, 계정 초기화, 보안 패치 | ERP 연동, 권한 재설정, 운영 테스트 |
| 업무 중단 | 직원 대기, 출고·상담 지연 | 수작업 입력 오류, 위약, 평판 손실 |
| 규제·고객 대응 | 신고 검토, 통지, 법률 자문 | 문의 대응 인력, 우편·상담 비용 |
백업이 있어도 복구비가 발생하는 이유
백업 서버까지 암호화됐는지 먼저 확인한다
평소 운영 서버에 계속 연결된 백업은 랜섬웨어가 접근할 수 있습니다. 백업 폴더가 눈에 보인다는 사실만으로 복원 가능하다고 판단해서는 안 됩니다.
백업 장비를 감염된 네트워크에 다시 연결하면 아직 살아 있던 복사본까지 암호화될 수 있습니다. 백업은 격리된 환경에서 악성코드 검사와 복원 시험을 거친 뒤 사용하세요.
잠깐, 백업 연결부터 하면 안 됩니다
백업 장비의 전원이 꺼져 있었다면 그대로 보존하세요. 감염 장비와 분리된 컴퓨터에서 백업 날짜, 파일 크기, 스냅샷 상태를 먼저 확인하고 복원용 복사본을 따로 만드는 편이 안전합니다.
감염 시점 이후의 백업은 깨끗하지 않을 수 있다
공격자는 암호화를 시작하기 며칠 또는 몇 주 전에 침투해 계정 정보를 수집할 수 있습니다. 따라서 암호화 직전 백업이 가장 최신이라는 이유만으로 가장 안전한 백업이라고 단정할 수 없습니다.
최근 정상 백업 여러 개를 보존하고, 각 시점의 악성 파일·의심 계정·로그 변화를 비교해야 합니다. 최신성보다 ‘침투 이전의 깨끗한 시점’을 찾는 것이 핵심입니다.
파일이 복원돼도 ERP가 실행되지 않을 수 있다
업무 시스템은 파일만 모아놓은 상자가 아닙니다. 데이터베이스, 프로그램 버전, 사용자 권한, 인증서, 공유 폴더 경로가 맞물려 움직입니다. 백업 파일이 존재해도 현재 설치 환경과 호환되지 않으면 별도의 재구축 작업이 필요합니다.
- 회계·생산·주문처럼 업무 중단 영향이 큰 시스템을 정합니다.
- 인증 서버, 데이터베이스, 프로그램 서버의 의존 관계를 확인합니다.
- 격리된 시험 환경에서 복원하고 파일과 DB의 정상 여부를 확인합니다.
- 사용자 계정을 초기화한 뒤 제한된 인원부터 접속시킵니다.
- 이상이 없을 때 나머지 시스템과 사용자를 순차적으로 연결합니다.
조금 더 깊이 알고 싶다면
가상화 환경에서는 하나의 물리 서버 안에 여러 가상 서버가 들어 있습니다. 겉으로는 가상 디스크 파일 하나만 복원하면 될 것 같지만, 호스트 설정과 스냅샷 체인, 가상 네트워크, 저장소 경로가 손상되면 가상머신이 부팅되지 않을 수 있습니다.
견적을 받을 때는 “가상 디스크 파일 추출”인지, “가상머신 부팅 확인”인지, “업무 서비스 정상 작동 확인”인지 완료 기준을 분리해 적어달라고 요청하세요.
복구 업체 세 종류를 구분하는 방법
데이터 복구 전문 업체
삭제된 파일, 손상된 디스크, RAID 배열, 파일 시스템을 분석해 데이터를 꺼내는 데 강점이 있습니다. 디스크 물리 손상이나 볼륨 손상이 함께 발생했다면 필요성이 커집니다.
다만 감염 원인과 외부 반출 여부, 계정 탈취 경로까지 조사하는지는 별도로 확인해야 합니다. 파일을 살리는 기술과 침해사고를 조사하는 기술은 겹치는 부분이 있지만 목적이 같지는 않습니다.
디지털 포렌식 업체
접속 로그, 악성 파일, 계정 활동, 외부 통신 기록을 분석해 공격 시점과 침투 경로를 조사합니다. 개인정보 유출 가능성, 내부자 행위, 법적 분쟁, 보험금 청구에 필요한 증적이 있다면 보고서 범위가 중요합니다.
침해사고 대응·시스템 재구축 업체
감염 범위를 통제하고 서버를 깨끗한 환경으로 재설치하며, 계정과 보안 정책을 초기화해 업무를 재개하는 작업을 맡습니다. 방화벽, 원격 접속, 백업 정책과 재발 방지 대책까지 포함하는지 살펴보세요.
| 필요한 결과 | 우선 검토할 업체 유형 | 추가로 물어볼 질문 |
|---|---|---|
| 손상된 디스크에서 파일 추출 | 데이터 복구 전문 업체 | 원본 복제와 파일 검증은 어떻게 하는가 |
| 침투 경로와 유출 범위 확인 | 디지털 포렌식 업체 | 보고서와 증적 보존 범위는 어디까지인가 |
| 서버 재설치와 업무 재개 | 침해사고 대응 업체 | 복원 후 보안 점검과 재발 방지가 포함되는가 |
| 세 작업이 모두 필요 | 통합 대응사 또는 전문 업체 조합 | 각 작업의 책임자와 완료 기준이 분리되어 있는가 |
한 업체가 모든 업무를 제공한다고 말한다면 자체 인력인지 협력업체인지, 각 단계의 책임 주체는 누구인지 확인하세요. 협력 구조 자체가 문제는 아니지만 데이터가 이동하는 장소와 개인정보 처리 책임이 불분명하면 위험합니다.
업체 비교표에서 확인할 10가지
서로 다른 설명으로 받은 견적서는 비교하기 어렵습니다. 아래 10개 항목을 같은 순서로 질문하고, 전화 답변이 아니라 이메일이나 견적서에 적어달라고 요청하세요.
| 비교 항목 | 확인할 질문 | 주의할 신호 |
|---|---|---|
| 1. 초기 진단비 | 진단 후 의뢰하지 않으면 얼마를 내는가 | 취소 비용을 작업 후에 알려줌 |
| 2. 비용 구분 | 작업비·성공보수·출장비·저장매체 비용이 분리되는가 | 총액만 있고 추가 과금 조건이 없음 |
| 3. 실패 비용 | 복구에 실패해도 청구되는 금액은 얼마인가 | 실패와 부분 성공의 정의가 모호함 |
| 4. 원본 보존 | 원본 디스크를 복제한 뒤 작업하는가 | 원본에 복구 프로그램을 직접 설치함 |
| 5. 결과 검증 | 어떤 샘플 파일과 프로그램으로 정상 여부를 확인하는가 | 파일 이름만 보이면 성공으로 계산함 |
| 6. 전문 경험 | 동일한 RAID·DB·ERP·가상화 환경 경험이 있는가 | 모든 환경의 복구율이 같다고 주장함 |
| 7. 보안 통제 | 작업실 접근, 저장매체 반출, 직원 권한을 어떻게 통제하는가 | 작업 장소와 담당자를 밝히지 않음 |
| 8. 보고서 | 작업 로그, 복구 목록, 실패 목록, 사고 보고서를 제공하는가 | 결과 파일만 주고 과정 기록이 없음 |
| 9. 일정 관리 | 예상 기간과 지연 시 통지 방식을 명시하는가 | 당일 완전 복구를 진단 전에 보장함 |
| 10. 데이터 폐기 | 보관 기간과 폐기 확인서를 제공하는가 | 복구 데이터 보관 기한이 없음 |
빠른 판단 기준
좋은 업체는 진단 전에 성공을 장담하기보다, 확인하지 못한 부분을 분명히 말합니다. “어디까지 알 수 있고, 무엇은 추가 조사해야 하는가”를 설명하는 답변이 화려한 복구율 숫자보다 신뢰할 만합니다.
개인정보 처리위탁 조건도 계약서에 넣는다
복구 대상에 고객·직원 개인정보가 포함된다면 업체는 사실상 해당 정보에 접근하게 됩니다. 작업 목적, 접근 인력, 재위탁 여부, 보관 기간, 사고 발생 시 책임, 작업 종료 후 삭제 절차를 문서로 확인하세요.
평소 개인정보 처리 기준이 정리되어 있지 않다면 개인정보 처리방침 작성 방법을 참고해 위탁과 보유 기간 항목을 함께 점검할 수 있습니다.
최종 완료 기준은 ‘업무 가능 상태’로 적는다
“파일 복구 완료”라는 문구만으로는 부족합니다. 파일이 열리는지, 폴더 구조가 유지되는지, DB가 정상 연결되는지, ERP에서 조회와 입력이 가능한지, 사용자 권한이 올바른지를 완료 조건으로 구체화하세요.
싼 견적 뒤에 숨은 계약 조건
‘복구 가능’이 전체 정상 복구를 뜻하지 않는다
일부 파일의 이름과 크기를 확인할 수 있다는 뜻일 수도 있고, 전체 파일을 추출할 수 있다는 뜻일 수도 있습니다. 업무 프로그램에서 실제로 사용할 수 있다는 의미인지 반드시 나누어 물어보세요.
디스크·볼륨·파일 수별 추가 과금을 확인한다
처음 제시된 금액이 디스크 한 개 기준인지, RAID 전체 기준인지 확인해야 합니다. 파일 수가 많거나 여러 볼륨으로 나뉜 경우, 추가 저장매체와 현장 출장, 야간 작업 비용이 붙을 수 있습니다.
손상 파일을 성공으로 계산하는지 묻는다
파일 목록에는 나타나지만 열리지 않는 문서, 일부 페이지만 보이는 문서, 재생이 끊기는 영상까지 복구 성공으로 집계할 수 있습니다. 중요한 파일 유형별로 샘플을 정하고 직접 열어본 뒤 승인하는 절차가 필요합니다.
| 견적 단계 | 적합한 상황 | 계약 전 요구할 내용 |
|---|---|---|
| 기본 진단형 | PC 한 대, 백업 존재, 손상 범위가 작음 | 진단비, 원본 반환, 복구 가능 파일 목록 |
| 복구·검증형 | NAS·RAID, 중요 문서와 공유 폴더 손상 | 복제 작업, 샘플 검증, 실패 비용, 저장매체 |
| 통합 사고대응형 | ERP·DB·서버·백업 동시 피해 또는 유출 의심 | 포렌식, 재구축, 보고서, 신고 지원, 재발 방지 |
저렴한 선택으로 충분한 경우도 있습니다. 개인 PC 한 대가 감염됐고 중요 데이터는 검증된 오프라인 백업에 있으며 외부 접속이나 정보 반출 정황이 없다면, 전체 포렌식보다 안전한 초기화와 백업 복원이 경제적일 수 있습니다.
반대로 핵심 서버, 고객정보, 관리자 계정 또는 여러 장비가 관련됐다면 낮은 최초 견적보다 사고 범위를 놓쳤을 때 발생할 두 번째 비용을 고려해야 합니다.
감염 직후 멈춰야 할 행동과 대응 순서
랜섬웨어 초기 대응 5단계
네트워크와 공유 저장소 연결을 차단합니다.
랜섬노트, 로그, 원본 디스크를 변경하지 않습니다.
공식 상담과 보험 사고 접수 조건을 확인합니다.
감염·유출·백업 범위를 분리해 조사합니다.
깨끗한 환경에서 우선순위대로 업무를 재개합니다.
하지 말아야 할 행동 7가지
- 암호화된 파일을 반복해서 열거나 이름을 바꾸지 않습니다.
- 감염 장비를 진단 전에 포맷하거나 운영체제를 재설치하지 않습니다.
- 출처를 확인하지 않은 무료 복호화 프로그램을 실행하지 않습니다.
- 정상 여부를 확인하지 않은 백업 장치를 감염 네트워크에 연결하지 않습니다.
- 랜섬노트, 보안 로그, 접속 기록을 삭제하지 않습니다.
- 공격자와 개인적으로 협상하거나 성급하게 송금하지 않습니다.
- 여러 업체가 같은 원본 디스크를 차례로 직접 작업하게 하지 않습니다.
공격자에게 비용을 지급해도 복구나 정보 삭제가 보장되지 않습니다. 한국인터넷진흥원은 랜섬웨어 예방·대응 안내와 침해사고 신고 창구를 제공하고 있으며, 해킹·개인정보침해 상담은 국번 없이 118을 통해 받을 수 있습니다.
무료 복호화 도구는 원본이 아닌 복사본에서 확인한다
특정 랜섬웨어는 보안기관이나 보안업체가 공개한 복호화 도구를 사용할 수 있습니다. 국제 협력 프로젝트인 노 모어 랜섬 복호화 도구 목록에서도 변종별 도구를 확인할 수 있습니다. 다만 모든 랜섬웨어에 도구가 존재하는 것은 아니며, 잘못된 도구 사용은 파일을 더 손상시킬 수 있습니다.
랜섬노트, 암호화된 샘플 파일, 원본의 정상 샘플이 있다면 분석에 도움이 됩니다. 중요한 원본 전체를 임의의 사이트에 올리지 말고 개인정보와 영업비밀 포함 여부를 먼저 확인하세요.
신고·보험 접수·업체 선정의 순서를 기록한다
누가 언제 사고를 발견했고, 어떤 장비를 분리했으며, 어느 업체에 어떤 자료를 전달했는지 시간 순서로 적으세요. 이 기록은 업무 인수인계뿐 아니라 보험 심사, 유출 범위 조사, 고객 안내 과정에서도 도움이 됩니다.
공식 신고 절차가 낯설다면 KISA 118 사이버사고 신고 준비 방법을 참고해 상담 전에 필요한 정보를 정리할 수 있습니다.
전문가의 도움이 필요한 사고 신호
핵심 시스템과 백업이 함께 영향을 받았다
ERP, 회계, 생산, 의료, 주문, 물류 시스템이 중단됐거나 서버·NAS·백업 장비가 동시에 암호화됐다면 단일 PC 복구 방식으로 접근하기 어렵습니다. 복원 우선순위와 시스템 의존 관계까지 조정할 통합 대응이 필요합니다.
관리자 계정 탈취와 외부 접속 흔적이 있다
새로운 관리자 계정, 낯선 원격 접속 주소, 비정상적인 야간 로그인, 대량 파일 압축이나 외부 전송 기록이 발견되면 침입자가 내부에 남아 있을 가능성을 조사해야 합니다. 일부 PC만 초기화하고 업무를 재개하면 같은 계정으로 다시 침투할 수 있습니다.
개인정보 반출 또는 공개 협박이 포함됐다
랜섬노트에 데이터 공개 사이트, 유출 샘플, 고객 명단이 언급됐다면 복구 업체만이 아니라 포렌식과 개인정보보호 대응 경험이 있는 전문가가 필요합니다. 접근·반출 가능성은 고객정보 유출 로그 확인 기준에 따라 접속·다운로드·전송 기록을 함께 살펴보세요.
유출이 확인되거나 법에서 정한 신고 대상에 해당할 가능성이 있다면 최신 신고·통지 기준을 공식 기관에 확인해야 합니다. 고객 안내가 필요할 때는 사실관계가 정리되기 전에 추측을 섞지 말고, 확인된 범위와 보호 조치를 구분해 작성하는 것이 안전합니다.
전문가 도움 기준
핵심 서버 중단, 여러 장비 동시 감염, 관리자 계정 탈취, 외부 전송 흔적, 개인정보 공개 협박, 사이버보험 가입 중 하나라도 해당한다면 파일 복구 견적과 사고대응 견적을 분리해 받아보세요.

자주 묻는 질문
랜섬웨어에 감염된 PC 전원을 바로 꺼도 되나요?
상황에 따라 다릅니다. 암호화가 계속되고 다른 장비로 확산될 가능성이 있다면 네트워크 연결을 먼저 차단해야 합니다. 전원을 끄면 메모리에 남은 조사 단서가 사라질 수 있으므로, 가능하면 내부 보안 담당자나 사고대응 전문가에게 상태를 설명한 뒤 결정하세요.
복구 업체에 원본 하드디스크를 보내도 안전한가요?
인수인계 기록, 밀봉 방법, 작업 장소, 담당자, 원본 복제 방식과 반환 조건이 명확하다면 전달할 수 있습니다. 다만 원본에 직접 작업하지 않는지, 개인정보가 포함된 경우 위탁 계약과 폐기 확인서를 제공하는지 먼저 확인하세요.
백업이 있으면 포렌식 없이 바로 복원해도 되나요?
직원 PC 한 대의 제한된 감염이고 외부 접속이나 정보 반출 정황이 없으며 깨끗한 오프라인 백업이 확인됐다면 간소화된 복원으로 충분할 수 있습니다. 서버와 관리자 계정이 관련되거나 침투 시점을 알 수 없다면 원인 확인 없이 복원할 경우 재감염될 수 있습니다.
랜섬웨어 복구 비용은 사이버보험으로 보상받을 수 있나요?
약관에 따라 데이터 복구, 사고 조사, 법률 자문, 고객 통지, 영업 중단 비용 등이 보장될 수 있습니다. 하지만 지정 업체 사용, 사전 승인, 자기부담금, 보장 제외 사유가 있을 수 있으므로 비용을 집행하기 전에 보험사 사고 접수 담당자에게 확인해야 합니다.
공격자가 보낸 복호화 샘플을 업체에 전달해도 되나요?
복호화된 샘플과 암호화된 원본의 비교는 변종 식별과 복구 가능성 판단에 도움이 될 수 있습니다. 다만 고객정보나 영업비밀이 포함된 파일은 전달 범위를 최소화하고, 보안 채널과 보관·폐기 조건을 확인하세요.
NAS 일부 폴더만 암호화됐어도 전체 장비를 격리해야 하나요?
우선 NAS와 감염 의심 장비의 네트워크 연결을 차단하는 편이 안전합니다. 일부 폴더만 보이는 것은 권한이나 접근 순서 때문에 아직 다른 영역이 암호화되지 않았거나, 이미 암호화됐지만 발견하지 못한 상태일 수 있습니다.
직원 PC 한 대만 감염돼도 서버 전체를 점검해야 하나요?
해당 PC가 서버 공유 폴더, 관리자 계정, 원격 접속 도구에 연결돼 있었다면 서버 로그와 계정 활동을 확인해야 합니다. 반대로 네트워크가 분리돼 있고 일반 사용자 권한만 사용했으며 서버 접근 흔적이 없다면 점검 범위를 줄일 수 있습니다.
복구 업체 두 곳에 동시에 진단을 맡겨도 되나요?
같은 원본 디스크를 두 업체가 직접 만지는 방식은 피해야 합니다. 신뢰할 수 있는 방식으로 원본 이미지를 확보한 뒤 별도 복제본을 제공하거나, 동일한 사고 현황표와 로그 사본으로 서면 예비 진단을 받는 방법이 더 안전합니다.
복구에 성공하면 개인정보 유출 신고를 하지 않아도 되나요?
그렇지 않습니다. 파일 복구 여부와 개인정보 유출 여부는 별개의 문제입니다. 외부 반출, 무단 접근 또는 공개 가능성이 있다면 관련 법령과 최신 신고·통지 기준에 따라 별도로 검토해야 합니다.
지금 30분 안에 사고 현황표를 작성하세요
업체부터 검색하면 각 상담에서 같은 설명을 반복하다 중요한 사실을 빠뜨리기 쉽습니다. 먼저 아래 항목을 한 장에 정리하세요. 이 문서가 복구 비용을 깎아주는 마법의 종이는 아니지만, 모호한 견적을 걷어내는 단단한 체가 됩니다.
| 기록 항목 | 작성 내용 |
|---|---|
| 최초 발견 | 발견 날짜와 시각, 발견자, 최초 증상 |
| 감염 장비 | PC·서버·NAS 이름, 운영체제, 디스크 수 |
| 파일 변화 | 새 확장자, 랜섬노트 이름, 열리지 않는 파일 유형 |
| 네트워크 상태 | 공유 폴더, 원격 접속, VPN, 외부 공개 서비스 |
| 백업 상태 | 마지막 정상 백업 시점, 위치, 현재 연결 여부 |
| 계정 정황 | 관리자 계정, 낯선 로그인, 최근 비밀번호 변경 |
| 업무 영향 | 중단된 부서와 시스템, 우선 복원해야 할 업무 |
| 정보 유출 가능성 | 고객·직원 정보 보유 여부, 외부 전송 또는 공개 협박 |
| 현재 조치 | 격리한 장비, 전원 상태, 신고·보험 접수 여부 |
현황표를 작성한 뒤 최소 2~3개 업체에 같은 자료를 보내세요. 진단, 데이터 복구, 포렌식, 시스템 재구축, 출장, 저장매체, 실패 비용을 각각 분리한 서면 견적을 요청합니다.
- 감염 장비와 백업을 더 이상 연결하거나 변경하지 않습니다.
- 사고 현황표와 랜섬노트·로그 사본을 준비합니다.
- 보험 가입 여부와 사전 승인 조건을 확인합니다.
- 같은 질문표로 2~3개 업체의 범위와 완료 기준을 비교합니다.
- 원본 복제, 데이터 보안, 실패 비용이 문서에 적힌 업체만 남깁니다.
복구를 서두르는 마음은 자연스럽습니다. 다만 가장 빠른 결정은 장비를 먼저 보내는 일이 아니라, 무엇이 손상됐고 무엇을 지켜야 하는지 한 장에 적는 일입니다. 그 기록이 있어야 비용도, 책임도, 다음 행동도 제자리를 찾습니다.
최종 검토: 2026-07