랜섬웨어 대비 파일 백업 전략이 없는 PC에서 악성코드가 실행되면, 드라이브 암호화는 수십 초 만에 시작된다. 2026년 이 글 작성 시점 기준으로 한국인터넷진흥원(KISA)은 랜섬웨어를 국내 사이버 위협 주요 항목으로 분류하며, 특히 이메일 첨부 파일·P2P 불법 다운로드·웹하드 파일 유포 경로를 통한 감염이 꾸준히 보고되고 있다.
문제는 단순히 파일이 잠기는 것에 그치지 않는다. 랜섬웨어는 실시간으로 동기화 중인 클라우드 폴더까지 도달한다. 네이버 MYBOX나 구글 드라이브가 PC에 마운트된 상태라면, 감염된 파일이 클라우드에 그대로 동기화되어 온라인 사본도 함께 오염된다. USB로 연결 중인 오프라인 외장 드라이브도 마찬가지 위험에 놓인다.
다만, 구조화된 백업 체계를 갖추고 있다면 피해를 복구 가능한 수준으로 묶어둘 수 있다. 이 글에서는 3-2-1 백업 원칙, 국내 주요 클라우드 서비스의 랜섬웨어 대응력 비교, 오프라인 에어갭 백업 구성, 버전 관리 설정, 그리고 실제 복구 테스트 절차까지 단계별로 짚는다.
이 글의 핵심
- 랜섬웨어는 실시간 동기화 클라우드 폴더도 오염시킨다 — 버전 관리 없는 클라우드는 백업이 아니다
- 3-2-1 원칙: 데이터 3벌, 2종 미디어, 1벌 오프라인·비동기 보관이 최소 기준이다
- 국내 서비스 중 OneDrive·네이버 MYBOX는 버전 관리를 지원하지만 설정에서 직접 확인·활성화해야 한다
- 백업 파일 자체도 AES-256 수준 암호화와 접근 권한 분리가 필요하다
- 3~6개월에 한 번 실제 복구 테스트를 하지 않으면 백업이 있는 것과 없는 것이 크게 다르지 않다
랜섬웨어가 파일을 공격하는 실제 경로
국내 사용자 사이에서 보고되는 랜섬웨어 감염 경로는 크게 세 가지다. 첫째는 피싱 이메일의 첨부 파일(PDF·XLSX·ZIP으로 위장). 둘째는 웹하드나 P2P에서 내려받은 불법 파일에 삽입된 악성코드. 셋째는 원격 데스크톱(RDP) 포트를 겨냥한 자동화 공격이다. 재택근무가 일상화된 이후 RDP 무차별 대입 공격이 급증했다는 점은 국내 보안 업계에서 반복적으로 언급되는 사실이다.
감염 후 악성코드는 드라이브 문자를 순서대로 순회하며 .docx, .xlsx, .jpg, .pdf 등 수백 가지 확장자를 암호화한다. 네트워크 공유 드라이브, USB 외장 장치, OneDrive·구글 드라이브의 동기화 폴더까지 범위에 포함된다. “클라우드에 동기화해뒀으니 괜찮겠지”라는 판단이 위험한 이유가 바로 여기에 있다. 동기화(Sync)와 백업(Backup)은 엄연히 다른 개념이며, 이 차이를 혼동하는 것이 가장 흔한 오류다.
랜섬웨어 대비 3-2-1 백업 전략의 원리
3-2-1 백업 원칙은 KISA를 비롯한 국내외 보안 기관이 공통으로 권장하는 기준이다. 규칙은 단순하다. 데이터를 3벌 보관하고, 2종 이상의 미디어에 나눠 저장하며, 그중 1벌은 오프사이트(물리적으로 분리된 장소 또는 비동기 클라우드)에 두는 것이다. 세 조건 중 어느 하나라도 빠지면 단일 장애 지점이 생긴다.
한국 가정 사용자 기준으로 현실적인 3-2-1 구성은 이렇다. ①원본 데이터(PC 내장 SSD), ②실시간 동기화 클라우드(네이버 MYBOX 또는 OneDrive — 버전 관리 활성화 필수), ③오프라인 외장 SSD(평소에는 연결 해제). 이 세 가지 중 하나가 랜섬웨어에 노출되어도 나머지 두 개가 온전하다면 복구 가능성이 남는다.
핵심은 ③번이다. 외장 SSD를 상시 연결해두면 랜섬웨어가 거기도 도달한다. 원격 NAS(네트워크 연결 스토리지)도 네트워크에 연결되어 있는 한 동일한 위험을 안고 있다. 백업 직후 연결을 끊거나, NAS에서 불변 스냅샷(Immutable Snapshot)을 지원하는 모델을 선택해야 한다. Synology와 QNAP 등 주요 제조사에서 해당 기능을 제공하며, 이 기능이 있으면 공격자가 스냅샷 자체를 삭제하거나 덮어쓸 수 없다.
국내 클라우드 서비스의 랜섬웨어 대응력 비교
클라우드 서비스를 랜섬웨어 대비 백업 용도로 쓰려면 반드시 확인해야 할 기능이 두 가지다. 버전 관리(Version History) 지원 여부와 비동기 백업 모드 제공 여부다. 버전 관리가 없으면 감염된 파일이 덮어씌워지는 순간 이전 사본도 함께 사라진다. 아래 표는 이 글 작성 시점(2026년 5월) 기준으로 각 서비스의 주요 항목을 정리한 것이며, 요금과 기능은 각 서비스 공식 페이지에서 재확인을 권장한다.
| 서비스 | 버전 관리 기간 | 무료 용량 | 랜섬웨어 복원 | 월 요금 (발행 시점 기준) |
|---|---|---|---|---|
| 네이버 MYBOX | 30일 (유료 전환 시) | 30GB | △ 설정 필요 | 약 2,900원 (100GB) |
| Microsoft OneDrive | 30일 (개인 볼트 180일) | 5GB | ○ 파일 복원 기능 내장 | 약 11,900원 (M365 Personal, 1TB) |
| Google Drive | 30일 | 15GB | △ 수동 복원 | 약 2,400원 (100GB) |
| iCloud Drive | 30일 | 5GB | △ Mac 한정 | 약 1,100원 (50GB) |
| 외장 SSD (오프라인) | 스냅샷 주기 의존 | 용량 제한 없음 | ◎ 완전 격리 가능 | 초기 구입 비용만 |
OneDrive는 “파일 복원(Files Restore)” 기능을 Microsoft 365 구독자에게 제공한다. 감염 의심 시 알림을 보내고 특정 시점으로 전체 드라이브를 되돌릴 수 있다는 점에서, 국내에서 접근 가능한 서비스 중 가장 직접적인 랜섬웨어 대응 기능을 갖추고 있다. 그러나 M365 Personal 기준 월 11,900원(발행 시점 기준)으로 비용 부담이 상대적으로 높다는 점은 명확한 단점이다.
네이버 MYBOX는 30GB 무료 제공으로 접근성은 높지만, 버전 관리는 유료 플랜에서만 온전히 작동하며 설정 화면에서 명시적으로 활성화해야 한다. 무료 사용자는 사실상 랜섬웨어 대응 백업 도구로 쓰기 어렵다. KT 클라우드·SK 마이박스 계열 서비스는 버전 관리 기능이 제한적이거나 별도 확인이 필요하다는 점도 주의해야 한다. 국내 클라우드 서비스 전반 비교는 클라우드 비교 카테고리에서 이어볼 수 있다.
오프라인 에어갭 백업: 암호화 공격이 닿지 않는 영역
에어갭(Air Gap) 백업이란 네트워크와 물리적으로 단절된 저장 장치에 데이터를 복사하는 방식이다. 랜섬웨어는 네트워크와 마운트된 드라이브를 통해 퍼지기 때문에, 연결을 완전히 끊은 외장 드라이브는 이론적으로 공격이 도달하지 않는다.
현실적인 에어갭 백업 루틴은 이렇다. 매주 1회 외장 SSD를 연결해 백업 소프트웨어(Windows는 Macrium Reflect 또는 내장 백업, Mac은 타임머신)를 실행한 뒤 즉시 분리한다. 원룸에서 4K 영상 작업물 수백 GB를 관리하는 크리에이터라면 드라이브 두 개를 교대로 보관하는 방식이 가장 안정적인 구성이다. 그중 하나를 다른 장소(가족 집, 회사 사물함)에 보관하면 화재·분실 피해도 함께 방어할 수 있다.
단점도 분명하다. 주간 루틴을 지키지 않으면 마지막 백업과 감염 시점 사이의 데이터(최대 7일치)는 복구되지 않는다. 자동화에 의존하기 어렵고 절차를 정기적으로 지키는 습관이 선행되어야 한다. 이 취약점을 보완하려면 불변 스냅샷을 지원하는 NAS를 병행하거나, 클라우드 비동기 백업 서비스를 추가하는 것이 현실적이다.
버전 관리 설정과 복구 시점 확보법
버전 관리의 핵심은 ‘감염 이전 버전’을 얼마나 오래 보존하느냐다. 일부 랜섬웨어는 감염 후 수일~수주 잠복하다가 암호화를 시작한다. 버전 관리 기간이 7일뿐이라면 잠복 기간 동안의 파일도 이미 감염 상태일 수 있다. 가능하면 30일 이상, 계약서·세금 서류 같은 중요 데이터는 90일 이상의 버전 이력을 유지하는 것이 권장된다.
Windows 환경에서는 파일 히스토리(File History)를 활성화하면 외장 드라이브에 주기적으로 버전을 저장한다. Mac은 타임머신이 동일한 역할을 한다. 클라우드 서비스를 쓴다면 설정 화면에서 “버전 기록” 또는 “파일 버전 관리” 항목이 활성화 상태인지 반드시 직접 확인해야 한다. 기본값이 비활성화인 경우도 있다는 점을 간과하기 쉽다.
사용자 커뮤니티에서 흔히 언급되는 사례는 이렇다. 1년 넘게 외장 드라이브에 백업해왔지만 실제로 복원을 시도해보니 특정 폴더가 누락되어 있거나 드라이브 자체가 고장나 있는 경우다. 3~6개월에 한 번, 임의 파일 3~5개를 실제로 복원해 정상 여부를 검증하는 것이 최소한의 안전 확인 절차다. 테스트를 거치지 않은 백업은 가능성의 도박일 뿐이다.
랜섬웨어 대비 백업 파일의 암호화와 접근 권한 분리
백업 자체가 다시 공격 대상이 될 수 있다는 점은 간과하기 쉽다. 공격자가 관리자 계정을 탈취하면 백업 서비스 설정을 변경하거나 저장된 데이터를 삭제할 수 있다. 이 위험을 줄이는 방법은 두 가지다. 첫째, 백업 파일 자체를 AES-256 수준으로 암호화한다. 둘째, 백업 전용 계정과 일반 업무 계정을 분리해 공격 표면을 줄인다.
개인정보보호법에 따르면 개인정보를 포함한 데이터를 외부에 보관할 경우 적절한 기술적 보호조치를 취해야 한다. 사업자에게는 단순 권고가 아닌 법적 의무다. 개인 사용자도 클라우드에 주민번호·계좌 정보·의료 기록 등이 포함된 파일을 올릴 때는 암호화 여부를 먼저 확인하는 것이 바람직하다.
클라우드 서비스 제공사의 암호화는 대개 서버 측 암호화(Server-Side Encryption)로, 서비스 사업자가 키를 관리한다. 사용자 측 암호화(Client-Side Encryption)는 Cryptomator나 VeraCrypt 같은 도구를 별도로 사용해야 가능하다. 민감한 파일이 포함된 백업이라면 제공사 측에서도 열어볼 수 없는 클라이언트 측 암호화를 검토할 만하다. 파일 암호화 도구 선택 기준과 활용법은 파일공유 보안 카테고리에서 이어볼 수 있다.
자주 묻는 질문
클라우드에 동기화하면 랜섬웨어 피해를 막을 수 있나요?
동기화만으로는 막을 수 없다. 감염된 파일은 실시간으로 클라우드에도 동기화되어 원본과 클라우드 사본이 동시에 오염된다. 버전 관리(Version History)가 활성화되어 있어야 감염 이전 버전으로 복원할 수 있다. 동기화 서비스를 백업과 혼동하지 않는 것이 출발점이다.
무료 클라우드 서비스만으로도 랜섬웨어 대비가 가능한가요?
제한적으로 가능하다. Google Drive 15GB 무료 플랜도 30일 버전 관리를 지원하므로, 중요 문서만 선별해 저장한다면 의미 있는 복원 지점을 확보할 수 있다. 사진·영상처럼 용량이 큰 파일은 무료 용량을 빠르게 소진하기 때문에, 오프라인 외장 드라이브를 병행하는 것이 현실적이다.
랜섬웨어에 감염된 파일을 복호화할 수 있나요?
일부 구형 변종은 No More Ransom 프로젝트(nomoreransom.org)나 KISA 공식 안내에서 복호화 도구를 무료로 제공한다. 그러나 최신 변종은 유효한 복호화 키가 공개되지 않은 경우가 대부분이다. 몸값 지불은 파일 복구를 보장하지 않을 뿐 아니라 추가 공격의 표적이 될 수 있어 보안 전문가들은 권고하지 않는다.
NAS를 백업 장치로 쓰는 것이 안전한가요?
NAS는 편리하지만 네트워크에 상시 연결되어 있어 랜섬웨어 공격 경로가 될 수 있다. 안전하게 활용하려면 불변 스냅샷(Immutable Snapshot) 기능을 지원하는 모델을 선택하고, NAS 계정을 일반 PC 계정과 분리해야 한다. 외부 인터넷 접근 포트 최소화와 펌웨어 최신 상태 유지도 기본 전제다.
백업은 얼마나 자주 해야 하나요?
업무용이라면 매일, 개인용이라면 최소 주 1회를 기준으로 삼는다. 더 중요한 것은 주기의 일관성이다. 월 1회 백업이라도 매달 빠짐없이 실행하고 복구 테스트까지 마친다면, 불규칙하게 운영되는 주 1회 백업보다 신뢰도가 높을 수 있다. 클라우드 실시간 동기화와 주 1회 오프라인 외장 드라이브 백업의 조합이 한국 개인 사용자에게 가장 균형 잡힌 방식이다.
랜섬웨어 피해를 당하고 나서야 백업을 시작하는 경우가 많다. 지금 쓰는 클라우드 서비스 설정 화면을 열어 버전 관리 항목이 켜져 있는지 먼저 확인해보자. 파일공유 보안의 다양한 위협과 대응법은 파일공유 보안 카테고리에서, 국내 클라우드 서비스 전반 비교는 클라우드 비교에서, 웹하드 이용 시 보안 주의사항은 웹하드 가이드에서 이어볼 수 있다.