사내 ERP 시스템이 랜섬웨어에 감염되는경우 기업 입장에서 가장 뼈아픈 비상사태 중 하나입니다. 단순한 데이터 손실을 넘어 회계, 인사, 재고 등 모든 비즈니스 프로세스가 마비되기 때문입니다.
현재, 랜섬웨어 공격은 더욱 지능화되었고 협박 방식도 다각화되었습니다. 실무자 및 결정권자를 위해 사내 ERP 랜섬웨어 감염 시의 즉각적인 대응 체계와 복구 프로세스를 자세히 정리해 드립니다.
📌 핵심 요약 (Quick Guide)
- 네트워크 격리: 감염 확인 즉시 해당 서버와 연결된 모든 네트워크를 차단하여 확산을 방지하세요.
- 데이터 백업 검증: 3-2-1 백업 원칙에 따라 오프라인 상태로 보관된 원격 백업 데이터의 무결성을 확인합니다.
- 전문가 공조: 내부 인력만으로 해결하려 하기보다 침해 사고 대응 전문 업체나 KISA(한국인터넷진흥원)의 도움을 받으세요.
- 법적 대응 및 신고: 개인정보 유출 가능성이 있다면 법적 고지 의무(72시간 이내)를 준수해야 합니다.
🔹 목차
- [서론] 갑자기 멈춘 ERP, 무엇부터 해야 할까?
- [긴급 대응] 골든타임 사수를 위한 4단계 조치
- [정밀 분석] 2025년 최신 랜섬웨어 트렌드와 ERP 침투 경로
- [복구 전략] 데이터 복구 시나리오와 의사결정 기준
- [예방 체계] 재발 방지를 위한 보안 고도화 (DR 구축)
- [FAQ] 실무자가 가장 자주 묻는 질문 3가지
- [결론] 위기를 기회로 만드는 비즈니스 연속성(BCP)
🚀 갑자기 멈춘 ERP, 무엇부터 해야 할까?
출근 직후 ERP 접속이 안 된다는 보고를 받았을 때의 그 당혹감을 저도 잘 알고 있습니다. 예전 컨설팅 과정에서 한 중견기업 IT 팀장님이 “모든 회계 데이터가 암호화되었다는 팝업을 봤을 때 등 뒤로 식은땀이 흐르더라”고 하셨던 말씀이 떠오릅니다.
ERP(Enterprise Resource Planning)는 기업의 심장입니다. 심장이 멈추면 전사적인 마비가 오죠. 하지만 당황해서 전원을 무작정 끄거나, 해커가 남긴 파일을 삭제하는 등의 성급한 행동은 복구 가능성을 영구히 없앨 수 있습니다. 지금 가장 필요한 것은 **’냉정한 절차 준수’**입니다.
🔹 긴급 대응: 골든타임 사수를 위한 4단계 조치
1. 즉각적인 네트워크 차단 (Isolation)
가장 먼저 할 일은 감염된 서버와 연결된 선을 뽑는 것입니다. 단순히 전원을 끄는 것보다 **’네트워크 분리’**가 우선입니다. 전원을 끄면 메모리에 남아 있는 휘발성 증거(복호화 키 등)가 사라질 수 있기 때문입니다.
2. 증거 보존 및 로그 수집
감염된 서버의 스냅샷을 찍거나 하드디스크를 복제(이미징)해야 합니다. 이후 보안 업체가 침투 경로를 파악할 때 이벤트 로그, 방화벽 로그는 결정적인 단서가 됩니다.
3. 공격 유형 파악
확장자 이름, 랜섬노트(메모장 파일)의 내용, 해커 그룹의 이름을 확인합니다. 현재 기술로 복호화가 가능한 랜섬웨어인지, 아니면 절대 복구가 불가능한 최신 변종인지 판별해야 합니다.
4. 사내 상황 전파 및 비상 연락망 가동
ERP 마비로 인해 발생할 물류 지연, 결제 지연 등에 대비해 유관 부서(구매, 영업, 재무)에 현 상황을 공유하고 수동 업무 프로세스로 전환합니다.
🔹 정밀 분석: 왜 우리 ERP가 타겟이 되었을까?
과거의 랜섬웨어는 불특정 다수에게 뿌려졌지만, 최근의 ‘Ransomware-as-a-Service(RaaS)’ 모델은 기업의 핵심 자산인 ERP를 정조준합니다.
| 공격 경로 | 주요 특징 | 대응책 |
| RDP 취약점 | 원격 데스크톱 포트(3389)를 통한 직접 침투 | 포트 차단 및 VPN 필수 사용 |
| 피싱 메일 | 임직원 이메일을 통해 내부망 권한 탈취 | 주기적인 보안 교육 및 2단계 인증(MFA) |
| 공급망 공격 | ERP 유지보수 업체의 원격 관리 툴을 악용 | 외주 업체 접근 권한 관리 강화 |
| 패치 미비 | OS나 DB의 알려진 보안 취약점 방치 | 정기적인 보안 패치 업데이트 자동화 |
🔹 복구 전략: 데이터 복구 시나리오와 의사결정 기준
복구의 핵심은 **”해커에게 비용을 지불할 것인가, 아니면 백업으로 돌릴 것인가”**입니다. 하지만 2025년의 추세는 비용을 지불해도 복구 키를 주지 않거나, 2차 협박(데이터 유출 폭로)을 가하는 경우가 많아 지불은 권장되지 않습니다.
✅ 시나리오 A: 백업 데이터가 존재하는 경우
가장 이상적인 상황입니다. 다만, 백업 서버마저 감염되었는지 확인이 필수입니다.
- 클라우드 백업: 시점 복원(PITR) 기능을 활용해 감염 직전 상태로 롤백합니다.
- 오프라인 백업(Air-gap): 물리적으로 분리된 저장 장치에서 데이터를 추출합니다.
✅ 시나리오 B: 백업이 없거나 오염된 경우
이때는 복구 전문 업체의 도움을 받아야 합니다.
- 쉐도우 복사본 확인: 랜섬웨어가 미처 삭제하지 못한 볼륨 쉐도우 복사본이 있는지 확인합니다.
- DB 로그 복구: 데이터베이스(.mdf, .ldf) 파일의 일부가 살아있다면 전문가를 통해 테이블 단위 복구를 시도할 수 있습니다.
⚠️ 경고: 해커와의 협상 주의사항
해커에게 직접 연락하는 행위는 본인이 ‘돈을 지불할 의사가 있는 타겟’임을 증명하는 꼴이 됩니다. 가급적 전문 대응 업체(IR)를 중개인으로 세우는 것이 안전합니다.
🔹 예방 체계: 재발 방지를 위한 보안 고도화
사고를 수습한 후에는 반드시 **’불침번’**을 세워야 합니다. ERP 보안의 핵심은 겹겹이 쌓는 방어막에 있습니다.
- 3-2-1 백업 원칙 준수: 데이터 복사본 3개 제작, 2가지 이상의 매체 사용, 1개는 반드시 오프라인(Off-site) 보관.
- EDR(Endpoint Detection and Response) 도입: 단순 백신을 넘어 서버의 행위를 실시간 모니터링하고 이상 징후 발생 시 즉각 차단합니다.
- 권한 최소화 (Least Privilege): ERP 데이터베이스에 접근할 수 있는 계정을 엄격히 제한하고, 관리자 계정은 반드시 MFA(다요소 인증)를 적용합니다.
🔹 FAQ: 실무자가 가장 자주 묻는 질문
Q1. 해커에게 비트코인을 보내면 정말 복구해주나요?
A. 통계적으로 비용을 지불한 기업 중 약 40~50%만이 데이터를 온전히 복구받습니다. 복구 키를 받아도 복구율이 100%가 아닌 경우가 허다하며, 무엇보다 ‘한 번 돈을 준 기업’으로 낙인찍혀 재공격의 대상이 될 확률이 매우 높습니다.
Q2. 개인정보 유출 신고는 무조건 해야 하나요?
A. ERP 내에 임직원이나 고객의 이름, 주민번호, 연락처 등 개인정보가 포함되어 있다면 법적으로 유출 여부 확인 후 72시간 이내에 개인정보보호위원회나 한국인터넷진흥원에 신고해야 합니다. 이를 어길 경우 막대한 과태료가 부과될 수 있습니다.
Q3. ERP 서버만 포맷하고 다시 설치하면 안전한가요?
A. 아니요. 해커가 이미 내부 네트워크의 다른 PC나 서버에 ‘백도어’를 심어두었을 가능성이 큽니다. 전체 네트워크의 가시성을 확보하고 악성코드가 완전히 제거되었는지 전수 조사를 마친 후에 재구동해야 합니다.
🚀 결론: 위기를 보안 체계 혁신의 기회로
ERP 랜섬웨어 감염은 기업에게 뼈아픈 시련이지만, 이를 계기로 보안 체계를 근본적으로 뜯어고친 기업들은 향후 더 큰 피해를 막아내기도 합니다. 현재 상황이 막막하시겠지만, 전문가의 도움을 받아 절차대로 대응하신다면 피해 범위를 최소화할 수 있습니다.
지금 바로 우리 회사의 ‘오프라인 백업’ 상태부터 확인해보시길 바랍니다.
답글 남기기