Articledata-protection최종 업데이트: 2026. 5. 1.

랜섬웨어 사고 발생 시 복구 플레이북 — 첫 24시간

랜섬웨어 공격 인지부터 격리·복구·RCA까지, 첫 24시간 내 취할 조치와 시간대별 체크리스트를 정리한 실전 가이드.

#ransomware#incident-response#recovery#data-protection

랜섬웨어 사고 발생 시 복구 플레이북

랜섬웨어 공격은 분 단위로 피해를 확산시킵니다. 얼마나 빠르고 조직적으로 대응하는가가 생존을 결정합니다. 본 플레이북은 한국 공공·금융 기관의 인시던트 대응 절차를 반영해 작성했습니다.

사고 대응 5단계 개요

  1. 인지 (0분): 사고 감지 및 보고
  2. 격리 (0~30분): 감염된 시스템 네트워크 차단
  3. 영향 분석 (30분~4시간): 침해 범위·영향도 파악
  4. 복구 (4시간~): Immutable 백업으로 시스템 복원
  5. RCA·강화 (24시간 이후): 사후분석 및 재발 방지 조치

시간대별 체크리스트

0분 — 사고 인지 (발견 즉시)

누가: 보안 담당자 · 시스템 관리자 할 일:

  • 사고 인지 시간 기록 (정확한 시각 필수)
  • 사고 대응 위기관리팀·보안담당자·경영진 호출
  • Slack·메일·핸드폰으로 즉시 통보 (음성 통화 권장)
  • 감시 시스템(SIEM·백업 모니터링)에서 처음 증상 시간 확인

0~5분 — 격리 시작

누가: 네트워크 관리자 · 보안담당자 할 일:

  • 감염된 디바이스/서버 즉시 네트워크 분리 (케이블 뽑기 또는 포트 차단)
    • VDI 환경: 하이퍼바이저 차단 우선
    • 서버: 스토리지 연결 차단 (NAS/SAN 보호)
  • 백업 시스템 즉시 네트워크 분리 (랜섬웨어가 백업까지 암호화할 수 있음)
  • 감염 가능 사용자 계정 잠금 (비밀번호 강제 변경 아직 하지 말 것)
  • 스냅샷 캡처 (서법 증거 보존)

주의: 감염된 시스템을 종료하지 마세요. 메모리 데이터가 손실됩니다.

5~30분 — 초기 격리 확대

누가: 보안팀 · 네트워크팀 할 일:

  • 감염 경로 추적 (로그인 기록·네트워크 흐름 분석)
  • 같은 네트워크·같은 자격증명으로 접근한 다른 시스템 파악
  • 해당 시스템들 예방적 격리 (아직 감염 아니더라도)
  • 인시던트 타임라인 작성 시작 (나중에 RCA에서 중요)

30분~2시간 — 영향 범위 분석

누가: 보안팀 · 백업팀 · 비즈니스 임원 할 일:

  • 파일 시스템 스냔 (어떤 파일들이 암호화되었는가)
    • 확장명 패턴 확인 (.locked, .crypt, .ransomware 등)
    • 감염 시작 시간 추정 (파일 수정 시간 역추적)
  • 백업 시스템 상태 확인
    • Immutable 백업이 남아 있는가? (중요!)
    • 가장 최신 정상 백업은 언제인가?
  • 영향받은 부서·업무 범위 파악
    • 금융거래 시스템? 고객 데이터? 운영 시스템?
  • 외부 통지 필요성 판단 (개인정보보호위원회·금융감독청 등)

2~4시간 — 복구 계획 수립

누가: 백업팀 · 시스템팀 · IT팀장 할 일:

  • 복구 우선순위 결정
    • Tier 1: 금융거래·고객서비스 시스템
    • Tier 2: 일반 업무 시스템
    • Tier 3: 보조 시스템
  • Immutable 백업으로부터 테스트 복구 (실운영 환경 아닌 별도 환경에서)
    • 복구 소요 시간 예측
    • 데이터 정합성 확인 (중요!)
  • 복구 순서·일정 최종 승인

4~24시간 — 복구 실행

누가: 백업팀 · 시스템팀 할 일:

  • 격리된 시스템부터 우선순위 역순으로 복구
    • 디스크 전체 포맷 후 Immutable 백업 복원 (권장)
    • 또는 감염 파일만 선택 복구 (시간 단축, 위험 증가)
  • 각 복구 단계마다 무결성 검증
    • 파일 체크섬 비교
    • 애플리케이션 재시작 테스트
  • 복구 로그 기록 (언제, 어떤 백업으로, 누가, 검증 결과)

24시간 이후 — RCA 및 강화

누가: 보안팀 · 감사팀 · 경영진 할 일:

  • 근본 원인 분석 (Root Cause Analysis)
    • 침투 경로는? (피싱·취약점·약한 비밀번호?)
    • 확산 경로는? (어떤 권한·네트워크 경로?)
    • 탐지 지연은 왜? (모니터링 공백?)
  • 시정 조치 계획
    • 침투 경로 차단 (엔드포인트 보안·이메일 필터 강화)
    • 권한 분리 강화 (PAM·최소권한 원칙)
    • 감시 강화 (SIEM·백업 모니터링)
  • 정기 복구 훈련 스케줄 수립
  • 외부 공시 및 고객 공지 (필요시)

체크리스트 다운로드 및 공유

이 체크리스트를 조직 내 공유하고, 분기마다 '말 없는 훈련(Tabletop Exercise)'을 실행하세요. 실제 사고가 터지기 전에 역할·절차를 숙지하는 것이 가장 중요합니다.

더 알아보기

복구 시간을 단축하고 신뢰성을 높이려면, Immutable 백업·통합 모니터링·격리 자동화를 갖춘 솔루션이 필수입니다.

Myloket 백업 도입 상담 문의 →

지금 우리 환경, N²SF 기준에서 어디쯤일까요?

7분 자가 진단으로 C/S/O 등급 예비 분류·VDI 유지/축소/전환 시나리오·MFA·백업 보완 지점이 정리된 무료 PDF 리포트를 받아보세요.

N²SF 전환 사전진단(7분)VDI 역할 재정의 진단(2분)

관련 콘텐츠

Article

운영계획서 템플릿 (다운로드)

일상 운영·정기 점검·사고 대응·변경 관리·보고 체계를 RACI로 정리. 보안성 검토 운영계획 첨부 + 운영팀 인수인계 자료.

Article

Acronis EDR로 백업 + 사이버 복원력 통합 — 도입 효과와 운영 시나리오

Acronis Cyber Protect의 EDR(엔드포인트 위협 탐지) 모듈을 추가하면 무엇이 달라지는지, 단순 백업과의 차이와 한국 SMB·중견 환경의 실제 운영 시나리오를 정리했습니다.

Article

Acronis Cyber Protect란 무엇인가 — 백업 + 사이버 보안 통합의 새 표준

전통적 백업 솔루션의 한계를 넘어, 백업·안티-멀웨어·EDR·패치 관리·원격 제어를 하나의 플랫폼에서 통합 운영하는 Acronis Cyber Protect의 핵심 5가지 기능과 도입 효과를 정리했습니다.