소규모 기업을 대상으로 한 랜섬웨어 공격: 안전을 유지하는 방법

많은 중소기업 소유주들은 여전히 랜섬웨어 공격이 병원, 글로벌 브랜드 또는 공공 인프라에만 일어나는 일이라고 생각합니다. 실제로는 중소기업의 랜섬웨어 위험은 공격자가 가치 있는 데이터, 제한된 시간 및 취약한 보안을 가진 조직을 어떻게 지속적으로 표적으로 삼는지 보여주는 가장 명확한 사례 중 하나입니다.

Proton의 보안 사고 관측소에서 발견한 최신 결과에 따르면 중소기업(SMB)은 빈번하게 보안 사고의 피해자가 됩니다. 또한 고위험 데이터와 대규모 기록 유출이 포함된 보안 사고를 비롯하여 가장 큰 피해를 주는 사건들에서 불균형적으로 높은 비율을 차지하고 있습니다.

랜섬웨어는 비즈니스 연속성, 자격 증명 보안 및 데이터 보호 문제입니다. 영국 정부의 사이버 보안 사고 설문조사에 따르면 영국 기업의 1%가 지난 12개월 동안 랜섬웨어 사건을 식별했으며, 이는 2024년 0.5% 미만에서 증가한 수치입니다. 국가적 규모로 보면 약 19,000개의 기업에 해당합니다.

랜섬웨어의 급증에도 불구하고 피싱은 여전히 가장 흔한 유형의 사이버 공격입니다. 공격자들은 대규모 사이버 공격보다는 주로 사람, 자격 증명 및 일상적인 업무 흐름을 통해 비즈니스 네트워크에 접근합니다. 기본적으로 피싱 공격을 사용한 후 더 큰 보상이 기대된다면 더 큰 규모의 랜섬웨어 공격을 시작할 수 있습니다.

중소기업의 경우, 랜섬웨어로 인한 피해는 비즈니스 연속성에 심각한 혼란을 초래할 수 있습니다. 팀원은 파일에 대한 접근 권한을 잃어 업무를 계속할 수 없고, 운영이 지연되거나 중단되며, 고객이나 클라이언트는 적절한 서비스를 받지 못하게 됩니다. 개인 데이터가 유출되면 보고 의무가 따릅니다. 중소기업을 위한 실질적인 랜섬웨어 전략은 예방과 복구라는 공격의 두 가지 측면을 모두 다루어야 합니다.

랜섬웨어는 어떻게 작동하나요?

랜섬웨어는 일반적으로 파일을 암호화하여 기기나 데이터에 대한 접근을 차단한 후, 복호화의 대가로 금전을 요구하는 멀웨어의 일종입니다. 많은 경우, 공격자들은 이제 파일을 잠그는 것 이상의 행위를 합니다. 그들은 또한 데이터를 훔치고 몸값을 지불하지 않으면 유출하겠다고 협박하며, 이는 사건을 가용성 위기와 잠재적인 보안 사고로 변질시킵니다.

피해자들은 종종 익명 이메일이나 웹페이지를 통해 소통하고 암호화폐로 결제하라는 지시를 받습니다. 중소기업의 경우 암호화폐가 익명이고 분산되어 있으며 전통적인 금융 기관의 규제를 받지 않기 때문에 이러한 구분이 중요합니다. 즉, 결제 내역을 추적하는 것이 거의 불가능합니다.

랜섬웨어 이벤트는 항상 파일 접근 권한을 잃는 것에만 국한되지 않습니다. 이는 고객 정보, 직원 데이터, 재무 기록, 계약서 또는 로그인 자격 증명이 이미 탈취되었음을 의미할 수도 있습니다. 랜섬웨어는 개인 데이터에 대한 적시 접근 손실을 초래할 수 있으며, 백업이 적절하지 않거나 사용할 수 없는 경우 영구적인 손실로 이어질 수도 있습니다.

공격 체인은 대개 귀하가 예상하는 것보다 평범합니다. 랜섬웨어 공격으로 이어질 수 있는 간과하기 쉬운 사건들은 다음과 같습니다:

피싱 링크를 클릭하는 경우.
재사용된 비밀번호가 보안 사고로 노출되는 경우.
원격 접근 서비스가 노출된 상태로 방치되는 경우.
알려진 취약점이 패치되지 않은 채로 남아있는 경우.

공격자가 비즈니스 네트워크에 접근하면, 네트워크 내에서 수평적으로 이동하며 권한을 상승시키고, 가능한 경우 복구 경로를 비활성화하며, 가장 큰 타격을 줄 수 있는 곳에 암호화 또는 갈취를 배포합니다. 단일 도구나 솔루션만으로는 랜섬웨어 공격을 예방할 수 없습니다. 대신, 조직은 네트워크로 침투하는 쉬운 경로의 수를 줄이는 데 집중해야 합니다.

중소기업이 불균형적으로 표적이 되는 이유

중소기업이 매력적인 랜섬웨어 표적이 되는 이유는 간단합니다. 중소기업은 마땅히 보호되어야 할 만큼 잘 보호되지 않은 가치 있는 데이터를 보유하고 있기 때문입니다. Proton의 최신 관측 결과에 따르면 중소기업은 2025년 1월 이후 추적된 보안 사고의 63%를 차지하며, 유출된 기록은 3억 5,200만 건 이상에 달합니다.

또한 고위험 데이터가 포함된 보안 사고의 61%를 차지하며, 소규모 기업만으로도 이러한 중대한 사건의 48%를 차지합니다. 100,000건 이상의 기록이 노출된 보안 사고 중 중소기업(SMB)은 60%, 소규모 기업은 42%를 차지합니다.

중소기업이 부주의한 것은 아닙니다. 사실 Proton의 2026년 SMB 사이버 보안 보고서는 중소기업들이 사이버 보안을 개선하기 위해 노력하고 있음을 증명합니다. 문제는 실제 상황에서 그들의 방어망이 무너지고 있다는 점입니다. 일관성 없는 시행, 인적 오류, 공유 접근 습관 및 제한된 내부 보안 역량이 중소기업을 유혹적인 표적으로 만듭니다.

직원 수 250명 미만 기업의 리더 3,000명을 대상으로 한 Proton의 설문조사에서 39%는 사고가 인적 오류에서 기인했다고 답했으며, 48%는 비밀번호 관리자를 사용하지 않고 있다고 답했습니다.

대기업은 전담 대응 팀, 분리된 환경, 테스트를 거친 백업 요금제 및 외부 사건 지원 체계를 이미 갖추고 있을 수 있습니다. 소규모 기업은 종종 하나의 효율적인 IT 기능, 외주 지원을 활용하거나 전담 보안 전문가가 없는 경우가 많습니다. 공격이 발생하면 기업은 운영상의 압박 속에서 중대한 결정을 내려야만 합니다. 랜섬웨어 운영자들은 바로 그러한 압박을 노립니다.

중소기업 랜섬웨어의 가장 흔한 침입 경로

영국에서 수행된 연구를 검토한 결과, 피싱이 기업에 대한 지배적인 사이버 범죄 매개체로 남아 있음을 알 수 있습니다. 그 이유는 무엇일까요? 피싱이 종종 자격 증명 도용, 계정 유출, 멀웨어 전달 또는 원격 접근 남용으로 가는 첫 번째 단계이기 때문입니다.

취약하거나 재사용된 자격 증명은 또 다른 주요 문제입니다. 중소기업은 종종 공유 로그인, 여러 서비스에 걸쳐 재사용되는 비밀번호, 또는 누군가 역할을 변경하거나 퇴사한 후에도 활성 상태로 유지되는 오래된 계정을 가지고 있습니다. 공격자가 유효한 로그인 정보를 하나만 확보하면 계정을 해킹할 필요가 없습니다. 그냥 로그인하면 됩니다.

거기서부터 보호가 취약한 관리자 계정, 노출된 클라우드 콘솔 또는 2단계 인증(2FA)이 없는 원격 접근 지점은 더 광범위한 랜섬웨어 사건으로 이어지는 가교가 될 수 있습니다. 현실적으로 조직은 도용된 자격 증명이 얼마나 쉽게 재사용될 수 있는지, 멀웨어가 얼마나 멀리 퍼질 수 있는지를 줄이기 위해 2단계 인증, 최소 권한 접근 및 정기적인 권한 검토를 배포해야 합니다.

패치되지 않은 소프트웨어는 또 다른 빈번한 침입 경로입니다. NCSC는 랜섬웨어가 RDP와 같은 노출된 서비스나 패치되지 않은 원격 접근 기기를 통해 점점 더 많이 배포되고 있음을 지적하며, 원격 접근 및 외부 인터넷 연결 시스템의 취약점이 발견되는 즉시 패치를 적용할 것을 권장합니다. 중소기업(SMB)의 경우, 이러한 미처 대처하지 못한 보안 사고가 소리 없이 공격 표면이 됩니다.

랜섬웨어 방어 방법: 계층적 접근 방식

랜섬웨어를 완벽하게 방지할 수 있는 단일 제어 수단은 없습니다. 가장 효과적인 방법은 계층적이고 실질적인 접근 방식입니다.

신원 관리부터 시작하기

랜섬웨어 공격을 퇴치하기 위해서는 팀원 계정의 데이터를 철저히 보호해야 합니다. 특히 이메일, 관리자 도구, 클라우드 저장공간, 금융 플랫폼, 원격 접근 지점 및 고객의 개인 데이터나 기타 민감한 개인 식별 정보(PII)를 저장하는 모든 시스템 등 비즈니스에 중요한 계정 전반에 걸쳐 가능한 경우 2단계 인증을 의무화하십시오.

비밀번호 보안 수칙 개선

공격자가 항상 계정을 해킹하여 침입하는 것은 아닙니다. 도난당하거나 재사용된 자격 증명을 사용하여 로그인하는 경우가 많습니다. 모든 비즈니스 계정은 강력하고 고유한 비밀번호를 가져야 하며, 스프레드시트나 채팅, 이메일을 통한 공유 방식 대신 비즈니스 비밀번호 관리자를 통해 안전하게 관리되는 방식으로 자격 증명 공유를 대체해야 합니다.

Proton의 SMB 보고서에 따르면, 보안 도구를 갖춘 기업조차도 여전히 안전하지 않은 비밀번호 공유 습관으로 돌아가는 경우가 많습니다. 바로 이 지점에서 Proton Pass for Business와 같은 안전한 비즈니스 비밀번호 관리자가 위험을 줄일 수 있습니다. 팀원들이 강력하고 고유한 자격 증명을 생성하고, 이를 안전하게 저장하며, 통제되고 안전한 방식으로 접근 권한을 공유하도록 돕습니다.

패치 관리는 엄격하게 이루어져야 합니다

운영 체제, 앱, VPN, 원격 접근 도구 및 경계 기기에 대한 보안 업데이트는 선택적인 유지보수가 아니라 필수적인 운영 요소로 취급되어야 합니다. 보안 업데이트는 가능한 한 빨리 설치하고, 가능한 경우 자동 업데이트를 활성화하십시오.

강력한 메일 및 웹 보호

메일 필터링, 첨부 파일 제어, 알려진 악성 사이트 차단 및 안전 브라우징 보호 등은 애초에 랜섬웨어가 전달될 가능성을 줄여줍니다. 피싱은 매우 흔하기 때문에 이러한 제어 수단은 필수적입니다.

인적 오류 해결

보안 조치와 비밀번호 정책을 시행한 경우에도 보안 인식 교육은 여전히 필요합니다. 교육은 직원들이 의심스러운 이메일과 사회 공학적 공격 시도를 식별하는 데 도움을 주지만, 사람들은 여전히 실수를 저지를 수 있습니다.

더 강력한 도구, 기능 및 접근 제어는 그러한 실수를 전제로 설계되어야 합니다. NCSC는 인식 교육을 명시적으로 권장하지만, Proton의 연구에 따르면 교육만으로는 모든 실수를 잡아낼 수 없습니다. 우수한 보안 설계는 2단계 인증, 최소 권한 접근, 더 강력한 이메일 보호, 세분화된 접근 권한 또는 복구를 지원하는 검증된 백업 등을 통해, 누군가 클릭을 했을 때 한 번의 실수가 대규모 사고로 이어질 가능성을 줄여 피해를 최소화합니다.

필요하기 전에 미리 복구 시스템 보호하기

백업은 정기적이고 격리된 상태로 이루어져야 하며 테스트를 거쳐야 합니다. ICO는 3가지 복사본을 두 개의 서로 다른 기기에 저장하고, 그중 하나는 외부 장소에 보관하는 3-2-1 방식을 권장합니다. NCSC는 중요한 운영 경고를 덧붙입니다. 즉, 랜섬웨어가 발견되기 전에 이미 환경 내에 침투했을 수 있으므로 복원 전에 백업을 스캔해야 하며, 백업 시스템 자체도 보호되어야 합니다.

자격 증명의 연결성: 랜섬웨어 방어에서 비밀번호가 여전히 중요한 이유

랜섬웨어를 단순히 멀웨어로만 생각하고 성공적인 공격에서 비밀번호가 수행하는 역할을 잊기 쉽습니다. 하지만 많은 랜섬웨어 사고는 로그인 정보의 도난, 재사용 또는 오용에서 시작됩니다.

이는 직원이 다른 서비스의 비밀번호를 재사용하거나, 퇴사한 계약업체 계정이 활성 상태로 남아 있거나, 관리자 자격 증명이 여러 사람 사이에서 공유되거나, 노출된 원격 접근 지점이 비밀번호로만 보호되는 상황을 의미할 수 있습니다. 이러한 각각의 편법은 공격 표면을 확장합니다.

이것이 바로 강력한 자격 증명 관리가 랜섬웨어 복구 계획 및 예방 프레임워크에 포함되어야 하는 이유 중 하나입니다. 서비스당 고유한 비밀번호를 사용하면 도난당한 하나의 로그인 정보가 미치는 영향 범위를 줄일 수 있습니다. MFA는 도난당한 비밀번호만으로는 무용지물이 되게 하며, 중앙 집중식 자격 증명 저장소는 안전하지 않은 임시방편의 필요성을 없애줍니다.

안전한 공유란 직원이 비공식적인 비밀번호 공유 대신 통제되고 추적 가능한 방식을 통해 필요한 접근 권한을 얻는 것을 의미합니다. 누가 무엇에 접근할 수 있는지 정기적으로 검토하는 것 또한 NCSC가 측면 이동 및 확산을 제한하기 위한 방안으로 권장하는 ‘최소 권한 원칙’을 지원합니다.

귀하는 SMB가 직면한 랜섬웨어 위협에 대해 광범위하게 다루어 왔습니다. 귀하는 반복적으로 동일한 현상을 목격하고 있습니다. 공격자들은 단순히 이름값이 큰 기업뿐만 아니라, 뚫기 더 쉬운 기업을 점점 더 많이 찾고 있습니다.

소규모 기업이 공격을 받았을 때의 대처법

1. 사고 억제

귀하의 비즈니스가 공격을 받았다면 최우선 순위는 확산 방지입니다. 감염된 기기를 네트워크에서 연결 해제하고, 확인 가능한 경우 유출된 계정을 비활성화하며, 원격 접근 경로를 격리하고, 증거를 보존하세요. 추후 포렌식 지원이 필요할 수 있으므로 시스템을 너무 빨리 비우지 않도록 주의해야 합니다.

2. 보안 사고 신고

NCSC는 영국 내 조직에 보안 사고 신고를 권고하며 대응 및 복구를 위한 전용 랜섬웨어 가이드를 제공합니다. Proton의 보안 사고 대응 가이드 또한 확산 방지, 조사, 커뮤니케이션 및 복구와 관련된 광범위한 의사 결정 프로세스를 구성하는 데 유용한 참고 자료가 될 수 있습니다.

3. 몸값 지불 금지

NCSC와 영국 법 집행 기관은 몸값 요구 지불을 권장하거나 지지하거나 용납하지 않습니다. 이들은 접근 권한을 다시 얻을 수 있다는 보장이 없으며, 시스템이 여전히 감염된 상태일 수 있고, 결과적으로 범죄 그룹에 자금을 제공하게 되며, 다시 공격 대상이 될 가능성이 높아질 수 있다는 점에 주목합니다.

ICO 역시 몸값을 지불하는 것이 개인에 대한 위험을 줄이거나 정보를 보호하지 못한다는 점을 분명히 하고 있습니다. 설령 복호화 키가 제공되더라도 제대로 작동할 것이라는 보장이 없으며 도난당한 데이터가 여전히 유출되지 않는다는 보장도 없습니다.

4. 복구 시작

복구는 느리지만 안전한 복원에 집중해야 합니다. 이는 깨끗한 백업본에서 재구축하고, 공격 경로가 차단되었는지 확인하며, 영향을 받은 자격 증명을 순환시키고, 접근 권한을 주의 깊게 다시 활성화하며, 발생한 상황을 기록하는 것을 의미합니다. 백업이 라이브 시스템에 연결되어 있거나 테스트를 거치지 않은 경우, 기업들은 첫 번째 실패 후에 흔히 두 번째 실패를 경험하게 됩니다. 훌륭한 랜섬웨어 복구 계획은 실제로 보안 사고가 발생하기 훨씬 전부터 시작됩니다.

영국 보고 의무: ICO의 개입이 필요한 경우

랜섬웨어 사고가 개인 데이터에 영향을 미치는 경우, 이는 영국 GDPR에 따른 개인 데이터 보안 사고에 해당할 수 있습니다. ICO는 개인 데이터에 대한 접근 권한 상실 자체가 개인에게 위험을 초래하는 보안 사고가 될 수 있으며, 보안 사고가 개인의 권리와 자유에 위험을 초래할 가능성이 있는 경우 부당한 지체 없이, 그리고 가능한 경우 72시간 이내에 ICO에 통지해야 한다고 설명합니다. 위험이 높은 경우 영향을 받은 개인에게도 부당한 지체 없이 해당 사실을 알려야 할 수 있습니다.

일부 조직은 시스템을 신속하게 복원하거나 명백한 공개 유출이 없는 경우 보고가 불필요하다고 생각하기도 합니다. 하지만 이는 안전한 가정이 아닙니다. ICO의 랜섬웨어 가이드는 보안 사고 알림 시나리오를 명시적으로 다루고 있으며, 평가 기준은 도난당한 파일이 이미 온라인에 공개되었는지 여부뿐만 아니라 개인에게 미치는 위험에 달려 있음을 분명히 합니다.

이제 랜섬웨어는 중소기업(SMB)의 문제입니다

소규모 기업들은 점점 더 자주 랜섬웨어 공격을 받고 있으며, 공격을 받았을 때 공격자들이 그들의 취약점을 악용하기 때문에 그 영향은 심각할 수 있습니다. Proton의 최신 보안 사고 데이터는 이를 가시화합니다. 위협은 측정 가능하며 증가하고 있고 운영에 지장을 주고 있습니다.

다행인 점은 기본 원칙만으로도 중소기업의 업무 부담을 크게 덜어줄 수 있다는 것입니다. 비즈니스 비밀번호 관리자를 사용하여 2단계 인증을 배포하고 고유한 자격 증명을 생성하는 것, 패치, 메일 필터링, 직원 인식 교육, 권한 검토, 테스트를 거친 백업, 보안 사고 대응 요금제 수립 등의 조치는 그 자체로는 화려해 보이지 않을 수 있지만, 모두 합쳐지면 유의미한 차이를 만들어냅니다. 이러한 조치는 도난당한 비밀번호 하나, 피싱 이메일 한 통 또는 노출된 원격 서비스 하나가 비즈니스 전체의 중단으로 확산될 가능성을 줄여줍니다.