랜섬웨어 막는다고 백업만 챙기는 분들 많아요. 그런데 실제로는 “백업이 있어도” 피해가 커지는 경우가 더 흔하거든요. 이유는 간단해요. 공격이 들어오는 경로와, 공격자가 권한을 잡는 방식, 그리고 복구가 바로 되지 않는 설정이 같이 무너지기 때문이에요.
결론부터 말하면, 랜섬웨어 방어 설정은 아래 3가지만 제대로 해두면 확률이 확 떨어져요. 계정/권한, 네트워크 노출, 복구 준비(백업 포함) 순서로 체크하세요.
- 계정은 “관리자 상시 사용”을 끊고, 불필요 권한을 바로 줄이기
- 네트워크는 “외부에서 바로 뚫리는 구멍(특히 원격 접속)”을 최소화하기
- 복구는 백업만 말고 “복구 테스트 + 자격 차단 + 롤백 가능성”까지 확인하기
체크리스트 1) 계정·권한부터 잠그기: “관리자 열쇠”를 줄이는 게 1순위
랜섬웨어가 무섭긴 해도, 공격은 보통 “원격으로 들어온 뒤 권한을 키우는 과정”으로 커져요. 그래서 가장 먼저 볼 건 PC 한 대의 백신이 아니라, 계정 구조예요.
- 일상 작업 계정이 관리자 권한을 갖고 있지 않은가
- 공유 계정(여러 사람이 쓰는 계정)이 계속 떠다니지 않는가
- 퇴사/이직자 계정이 즉시 비활성화되었는가
- 원격 접속(RDP/SSH/VPN) 계정이 관리자 계정과 분리되어 있는가
- 관리자 계정은 “필요할 때만” 쓰게 설정을 바꿔주세요. 가능하면 일상용 계정과 분리합니다.
- 권한을 회수하세요. 사용하지 않는 권한(로컬 관리자, 도메인 관리자급, 중요 폴더 쓰기 권한 등)은 줄이는 게 정답이에요.
- 공유 계정 삭제/중단을 목표로 하세요. 부득이하면 최소한 비밀번호/접근 통제를 강화해야 해요.
- 로그인 제한을 걸어보세요. 특정 시간대/특정 IP/특정 장치에서만 접속되게 만드는 것만으로도 “자동 스캔” 계열 공격이 덜 들어옵니다.
여기서 많이 하는 실수가 하나 있어요. “백업 저장 서버는 별도니까 괜찮겠지”라고 생각하지만, 실제로는 관리자 권한으로 백업 저장 위치에까지 손을 뻗는 경우가 생깁니다. 그래서 권한 분리가 정말 중요해요.
체크리스트 2) 네트워크 노출 줄이기: “들어오는 길”을 최소화해야 해요

랜섬웨어는 이메일만으로 끝나지 않아요. 회사 PC가 외부에 조금이라도 노출돼 있으면(원격 접속, 관리 포트, 잘못 열린 공유), 공격자는 먼저 “연결 가능한지”를 확인한 다음 들어옵니다.
목표는 딱 하나예요. 공격자가 들어올 수 있는 “문”을 줄이거나, 들어와도 “여기저기 이동” 못 하게 만드는 거예요.
| 우선순위 | 확인할 것 | 줄이면 좋아지는 위험 |
|---|---|---|
| 1 | 외부에서 열려 있는 원격 접속(RDP 등) 여부 | 자동 스캔/브루트포스 성공률 하락 |
| 2 | 관리 포트(웹 관리, 파일 공유, 원격 관리)의 접근 범위 | 내부로 침투하기 전 단계에서 차단 |
| 3 | 서브넷/망 분리(중요 서버와 사용자 PC 분리) | 한 PC 감염 후 확산 속도 둔화 |
| 4 | 불필요한 서비스 자동 시작 여부 | 공격 표면(attack surface) 감소 |
원격 접속은 특히 조심: 계정이 아니라 ‘문’ 자체를 줄이세요
RDP 같은 원격 접속은 편한 대신 자주 표적이 됩니다. 계정만 세게 해도 되겠지 싶지만, 공격은 먼저 “문이 열려 있는지”부터 봐요. 그래서 다음 3가지는 최소로 점검해두는 게 좋아요.
- 가능하면 인터넷 직접 노출을 피하고 VPN 또는 전용 게이트웨이를 사용
- 외부에서 접속되는 포트/서비스는 “필요한 것만” 유지
- 접속 로그를 월 1회가 아니라, 이상 징후가 보이면 즉시 확인
체크리스트 3) 복구는 ‘백업 파일’이 아니라 ‘복구가 되는지’까지 준비하기
백업이 있으면 괜찮을 거라고 생각하지만, 실제로는 공격자가 백업도 같이 망가뜨리거나(권한/경로), 복구 과정에서 시간이 너무 오래 걸려서 피해가 커지는 일이 생깁니다.
백업보다 중요한 질문은 이거예요. “복구 버튼을 눌렀을 때, 몇 시간 안에 실제로 다시 돌아오나?”
- 백업이 ‘별도 보관/별도 권한’으로 동작하는지 확인합니다. 같은 계정/같은 서버 권한 체계로 묶여 있으면 위험해요.
- 복구 테스트를 정기적으로 해두세요. 파일 하나만 복원하는 게 아니라, “업무가 시작되는 수준”까지 짧게라도 확인하는 게 포인트예요.
- 복구 단계 문서화를 해요. 감염 직후에는 판단력이 떨어지거든요. 누가 어떤 순서로 무엇을 복구하는지 정해두면 시간이 크게 줄어요.
- 랜섬웨어 감염 징후가 있는 상태에서 복구를 바로 하면 기존 감염이 다시 퍼질 수 있어요. 복구 전 “확인 절차”를 붙여야 안전합니다.
많이들 놓치는 2가지: 백업 접근권한 & 복구 우선순위
백업이 있어도 문제는 “백업 저장소에 접근할 수 있는 사용자/계정”이 많을 때 생깁니다. 그래서 백업 위치는 일반 사용자 권한에서 분리하고, 복구 시에만 필요한 계정으로 접근되게 만드는 게 안전해요.
또 하나는 “뭘 먼저 복구할지”가 없어서 시간이 늘어나는 경우예요. 실무에서는 보통 운영이 멈추면 큰 항목부터 우선순위를 정합니다. 처음부터 우선순위를 정해두면 복구 중 혼란이 줄어요.
한눈에 정리: 3가지 체크리스트를 어디부터 적용할지

관리자 열쇠를 분리하고, 공유/불필요 권한을 줄이기
원격 접속/관리 포트를 필요한 만큼만 열고 범위를 제한하기
백업만 두지 말고 복구 테스트·문서·안전 절차까지 갖추기
정리하면, 랜섬웨어 방어는 “백업” 단독 게임이 아니라는 점이 핵심이에요. 공격이 들어오는 길(네트워크), 공격자가 쥐는 열쇠(권한), 그리고 다시 일어나는 방법(복구) 이 3개가 같이 맞아야 피해가 줄어듭니다.
자주 묻는 질문
백업은 이미 해뒀는데도 왜 피해가 커질 수 있나요?
백업이 있어도 공격자가 백업 저장소에 접근할 수 있는 권한을 잡거나, 복구 과정에서 시간이 너무 오래 걸리면 피해가 커져요. 그래서 권한 분리와 복구 테스트가 같이 필요합니다.
원격 접속(RDP)을 꼭 써야 하면 최소한 뭘 해야 하나요?
가능하면 인터넷 직접 노출을 줄이고 VPN/접근 제한(IP, 사용자, 시간대)으로 범위를 좁히는 게 우선이에요. 그리고 원격 접속 로그를 주기적으로 확인하는 것도 중요합니다.
복구 테스트는 얼마나 자주 하면 좋나요?
정답이 하나로 고정되진 않지만, 시스템/계정/백업 설정 변경이 잦다면 변경 후 바로 테스트를 권해요. “한 달에 한 번”처럼 정해두고, 최소한 대표 데이터 1~2개라도 실제로 복원 가능한지 확인하는 방식이 현실적입니다.
백신/보안솔루션만으로 충분하지 않나요?
보안솔루션이 탐지에 도움을 주는 건 맞지만, 공격은 ‘들어오는 순간’과 ‘권한을 얻는 순간’에 이미 확산이 시작될 수 있어요. 그래서 계정·네트워크·복구 준비를 같이 묶어야 효과가 커집니다.