랜섬웨어 걸리면 실제로 무슨 일이 벌어지나? 몸값부터 백업까지 현실 가이드

어느 날 PC를 켰는데 바탕화면이 이렇게 바뀌어 있다.

“Your files have been encrypted. Pay 0.5 BTC to recover.”

문서 폴더를 열어본다. 졸업논문.docx가 졸업논문.docx.locked로 바뀌어 있다. 가족사진 폴더, 전부 열리지 않는다. 야동 폴더 — 그것도 암호화됐다. 이름은 고스란히 남아 있고, 파일만 못 열게 잠겼다.

이게 랜섬웨어다.

랜섬웨어는 실제로 뭘 하는 건가

랜섬웨어는 PC에 있는 파일을 하나하나 암호화한다. 삭제가 아니라 암호화 — 파일은 그대로 있는데 열 수 없게 잠그는 거다. 열쇠는 공격자만 가지고 있고, 그 열쇠를 받으려면 비트코인으로 몸값을 보내라는 구조다.

감염 경로는 대부분 이렇다.

이메일에 붙어온 “견적서.xlsx” 같은 첨부파일을 열었거나, 토렌트로 받은 크랙 파일을 실행했거나, 웹 브라우저에서 악성 광고를 클릭한 거다. 2025년 기준 피싱 이메일이 감염 경로의 약 절반 이상을 차지한다(보고서에 따라 45~67%).

감염되면 보통 수 분에서 수 시간 안에 PC 내 문서, 사진, 영상, 압축파일 등이 전부 잠긴다.

뭐가 위험하고 뭐는 괜찮은가 — 위험도 분류

모든 상황을 같은 무게로 겁줄 필요는 없다.

🟢 일반 사용자 — “이것만 챙겨라”

PC에 졸업논문, 가족사진, 작업 파일 정도가 있는 경우다. 대부분의 개인 사용자가 여기에 해당한다.

핵심 리스크: 몸값을 내도 파일이 돌아올 확률이 극히 낮고, 백업이 없으면 그 파일은 사실상 사라진 거다.

챙길 것: 외장하드 하나에 주 1회 백업. 이것 하나면 랜섬웨어의 핵심 무기가 무력화된다.

🟡 민감한 데이터 보유 — “여기까지 하면 충분하다”

프리랜서 작업 파일, 고객 데이터, 세무 자료, 사업용 문서가 PC에 있는 경우다.

핵심 리스크: 파일 암호화에 더해, 최근 랜섬웨어는 파일을 빼돌린 뒤 “몸값 안 내면 유출하겠다”고 이중으로 협박하는 패턴이 늘었다.

챙길 것: 오프라인 백업 + 클라우드 백업 병행. Windows 제어된 폴더 액세스 활성화.

🔴 기업·기관 수준 — “일반인은 여기까지 안 해도 된다”

서버, 데이터베이스, 내부 네트워크를 운영하는 경우다. 2025년 한국에서도 YES24가 랜섬웨어 공격으로 서비스가 중단된 사례가 있다.

개인 사용자는 이 단계까지 신경 쓸 필요 없다. 네트워크 분리, EDR(Endpoint Detection and Response — 실시간 위협 탐지·대응 솔루션), 접근 권한 관리는 기업 IT팀의 영역이다.

몸값을 내야 하나? 현실적 판단

결론부터 — 내지 마라.

2025년 기준 수치를 보겠다.

몸값을 낸 피해자 중 **전체 데이터를 복구한 비율은 4%**다. 나머지 96%는 일부만 돌려받았거나, 아예 못 돌려받았다. 더 나쁜 건, 몸값을 낸 조직 중 80%가 재공격당했다는 점이다. “이 사람은 돈을 낸다”는 게 확인되면, 다음 타겟 목록 맨 위에 올라간다.

반면 몸값을 거부하고 백업에서 복구한 조직은 53%가 1주 내에 정상 복귀했다. 2024년의 35%에서 크게 올랐다.

수사기관에 신고한 경우 평균 피해액이 약 100만 달러 줄어든다는 데이터도 있다($5.37M → $4.38M). 신고 자체가 돈을 절약하는 행위다.

돈을 내도 복구 안 되고, 돈을 안 내도 백업이 있으면 복구된다. 답은 명확하다.

이미 감염됐다면 — 3단계

1단계: 네트워크 차단. 랜선을 뽑거나, Wi-Fi를 끈다. 같은 네트워크에 있는 다른 기기로 퍼지는 걸 막는 거다.

2단계: No More Ransom 확인. 유로폴과 보안 업체들이 공동으로 운영하는 프로젝트다. 170개 이상의 파트너가 참여하고 있으며, 150개 이상의 랜섬웨어 변종에 대한 무료 복호화 도구를 제공한다. 누적으로 15억 달러 이상의 몸값 지불을 막은 것으로 추산된다. 감염된 랜섬웨어 종류를 확인해서 맞는 도구가 있으면, 돈 안 내고 파일을 복구할 수 있다.

3단계: KISA(한국인터넷진흥원) 신고. 보호나라에서 신고하거나, 118 전화 상담을 이용한다. 개인 사용자도 신고 가능하다.

지금 당장 백업 설정하는 법 — 1-2-3

감염된 후에 할 수 있는 건 한정적이다. 진짜 해결책은 감염 전에 백업을 만들어두는 것이다.

1. 외장하드 하나 사기

1TB 외장하드가 5만 원 안팎이다. 이게 졸업논문과 가족사진 10년 치보다 싼지 비싼지는 본인이 판단하면 된다.

2. 주 1회 연결해서 백업 → 백업 끝나면 분리

Windows: 제어판 → 시스템 및 보안 → 파일 히스토리에서 외장하드를 선택하고 “켜기”를 누른다. 또는 시작 메뉴에서 “파일 히스토리”를 검색하면 바로 접근할 수 있다.

핵심은 “분리”다. 외장하드가 PC에 항상 연결되어 있으면, 랜섬웨어가 외장하드까지 같이 암호화한다. 백업이 끝나면 반드시 USB를 뽑아야 한다.

3. 클라우드 백업 하나 추가

Google Drive, OneDrive, iCloud 중 하나. 무료 용량만으로도 핵심 문서는 보관 가능하다. 클라우드 서비스는 보통 파일 버전 기록을 지원하기 때문에, 랜섬웨어가 동기화 폴더를 암호화해도 이전 버전으로 되돌릴 수 있다.

외장하드(오프라인) + 클라우드(온라인). 이 두 개면 개인 사용자 수준에서 랜섬웨어에 대한 방어는 사실상 끝이다.

윈도우 자체 방어 기능 — 꺼져 있으니 직접 켜야 한다

Windows 10/11에 “제어된 폴더 액세스”라는 기능이 있다. 허가하지 않은 프로그램이 문서, 사진, 동영상 폴더를 수정하는 걸 차단한다. 랜섬웨어가 파일을 암호화하려면 파일을 “수정”해야 하는데, 이 기능이 그걸 막는다.

설정 방법:

1. 시작 메뉴에서 “Windows 보안” 검색 → 실행
2. “바이러스 및 위협 방지” 클릭
3. 아래로 스크롤 → “랜섬웨어 방지 관리”(또는 “랜섬웨어 보호 관리”) 클릭
4. “제어된 폴더 액세스” 토글을 켬으로 변경

기본으로 문서, 사진, 비디오, 음악, 즐겨찾기 폴더가 보호된다. 다른 폴더도 수동 추가 가능하다.

한 가지 주의할 점 — 이 기능을 켜면 일부 정상 프로그램도 차단될 수 있다. 예를 들어 포토샵이 사진 폴더에 저장을 못 하는 식이다. 그때는 “허용된 앱 추가”에서 해당 프로그램을 등록하면 된다. 불편하지만, 그 불편함이 파일 전체가 잠기는 것보다는 낫다.

결론

랜섬웨어의 무기는 단 하나 — 내 파일을 인질로 잡는 것이다. 백업이 있으면 인질의 가치가 0이 된다.

몸값을 내도 전체 복구율 4%, 재공격율 80%. 이건 도박이 아니라 거의 확정된 손해다.

지금 이 글을 읽고 나서 할 일은 하나다. 외장하드 하나 사서, 잃어버리면 안 되는 파일을 복사해둬라. 그리고 복사가 끝나면 USB를 뽑아라.

그 5만 원짜리 외장하드가, 졸업논문과 가족사진 전부보다 싸다.