랜섬웨어 완벽 가이드:AES 암호화 원리, 공격 수법, 백업 전략과 감염 후 대응 실무

2024년 2월, 미국 최대 의료 결제 처리 업체 Change Healthcare가 ALPHV/BlackCat 랜섬웨어 그룹의 공격을 받아 전국 수천 개 병원과 약국의 보험 청구 시스템이 수 주간 마비되었고, 결국 2200만 달러의 몸값을 지불했습니다. 2025년에는 랜섬웨어 표적이 대기업에서 중소기업·학교·개인으로 확대되었으며, 1회 공격으로 평균 21일간 업무가 중단됩니다. 랜섬웨어의 원리와 방어 방법을 이해하는 것이 그 어느 때보다 중요합니다.

1. 랜섬웨어의 작동 원리

랜섬웨어는 대칭 암호화(AES-256)와 비대칭 암호화(RSA)를 조합하여 파일을 잠급니다:

  1. 초기 침투:피싱 이메일, 취약점 악용, RDP 무차별 대입 등으로 진입
  2. 횡적 이동:네트워크 전반으로 확산, 백업 서버 포함 최대한 많은 기기 감염 시도
  3. 암호화 단계
    • 로컬에서 랜덤 AES-256 대칭 키 생성
    • 해당 키로 모든 대상 파일 암호화 (속도 빠름)
    • 공격자의 RSA 공개 키로 AES 키 암호화
    • RSA 개인 키는 공격자만 보유
  4. 몸값 요구:Monero/Bitcoin으로 RSA 개인 키와 교환 요구
  5. 이중 갈취(현대형):암호화 전 데이터 절취 후 미지불 시 공개 위협
AES 암호화 원리 체험:AES 암호화 도구에서 텍스트와 키를 입력하여 암호화·복호화를 직접 시험해보세요. 올바른 키 없이는 복호화할 수 없음을 체감하며, 랜섬웨어가 피해자를 무력화하는 근본 원리를 이해할 수 있습니다.

2. 주요 랜섬웨어 사건(2024〜2026)

Change Healthcare 공격(2024년 2월)

ALPHV/BlackCat이 UnitedHealth 자회사를 공격, 미국 전역 의료 시스템 결제 처리 마비. 2200만 달러 지불 후에도 전체 데이터 미회수, 이후 다른 그룹에 이중 갈취 당함.

영국 NHS 공격(2024년 6월)

Qilin 그룹이 NHS 협력사 Synnovis 공격, 런던 복수 병원에서 3000건 이상 수술·외래 취소. NHS는 5000만 달러 요구를 거부.

3. 3-2-1 백업 규칙:가장 효과적인 방어 수단

  • 3:최소 3개의 데이터 복사본 유지 (원본 1개 + 백업 2개)
  • 2:최소 2가지 서로 다른 미디어에 저장
  • 1:최소 1개는 오프사이트 또는 오프라인 (에어갭) 보관

현대 랜섬웨어는 암호화 전에 네트워크 백업을 탐색하여 삭제합니다. 백업 드라이브나 NAS가 항상 마운트되어 있다면 역시 암호화됩니다. 에어갭 백업(물리적으로 분리)만이 랜섬웨어에 면역을 가집니다. 정기적인 복원 테스트와 Checksum 검증으로 백업 건전성을 확인하세요.

백업 무결성 검증:Checksum 도구로 파일의 MD5·SHA-256 해시값을 브라우저에서 계산할 수 있습니다. 중요 백업 파일이 변조되지 않았는지 정기적으로 확인하는 데 적합합니다.

4. 주요 침투 경로

침투 경로비율(약)전형적 시나리오
피싱 이메일약 40%악성 첨부파일 (Office 매크로, PDF) 또는 피싱 링크
원격 데스크톱(RDP)약 25%공개 인터넷에 노출된 RDP + 취약한 비밀번호
소프트웨어 취약점약 15%패치되지 않은 VPN·방화벽·앱 취약점
공급망 공격약 10%감염된 서드파티 소프트웨어 업데이트
자격증명 탈취약 10%다크웹에서 구입한 계정 정보로 기업 시스템 로그인
계정 보안:비밀번호 생성기로 브라우저에서 고강도 무작위 비밀번호를 생성할 수 있습니다. 비밀번호 관리자와 함께 각 시스템마다 독립된 강력한 비밀번호를 설정하여 자격증명 탈취로 인한 침투 위험을 크게 낮추세요.

5. 공격 후 대응 절차

  1. 감염 기기 즉시 격리:랜 케이블을 뽑거나 Wi-Fi 비활성화로 횡적 확산 차단
  2. 현장 보존:즉시 포맷하지 말 것—암호화된 디스크 이미지가 향후 복호화에 도움이 될 수 있음
  3. 랜섬웨어 종류 확인nomoreransom.org(Europol 주도)에서 무료 복호화 도구 유무 확인
  4. 백업 평가:오프라인 백업이 온전한지, 마지막 백업 시점 확인
  5. 몸값 지불은 신중히:지불해도 유효한 복호화 키를 받는다는 보장 없음

요약

  • 랜섬웨어는 AES-256으로 파일을 암호화하고, 공격자의 RSA 공개 키로 AES 키를 재암호화—개인 키 없이는 사실상 복호화 불가
  • 피싱 이메일과 RDP 무차별 대입이 전체 사건의 60% 이상을 차지
  • 3-2-1 백업 규칙이 가장 효과적인 방어 수단이며, "오프라인 백업"이 핵심
  • 공격 받으면 격리→nomoreransom.org 무료 복호화 도구 확인→백업 평가 순서로 대응
  • No More Ransom 프로젝트는 전 세계 160만 명 이상의 무료 복호화를 지원, 30억 달러 이상의 몸값 지불을 방지