저희 한국랜섬웨어복구센터(KRDC)는 2025년 2월, 국내 1위 D사 ERP서버의 랜섬웨어 피해를 성공적으로 복구하며 또 한 번의 성과를 기록하였습니다. 당시 다수의 MSSQL 복구 의뢰가 접수되었고, 저희는 평균 80%, 최대 92%에 달하는 높은 복구율로 대부분의 작업을 완수하였습니다. 이번 사례는 경기도에 소재한 중견기업으로, D사의 ERP 시스템을 사용하던 고객의 긴급 복구 요청을 다룬 것입니다.

랜섬웨어란?

랜섬웨어는 데이터를 암호화하거나 시스템을 잠그고 그 해제를 조건으로 금전을 요구하는 악성 프로그램입니다. 

기업의 경우, 랜섬웨어 공격으로 인해 모든 비즈니스 프로세스가 중단될 수 있으며, 실제로 많은 기업들이 이로 인해 심각한 피해를 겪었습니다. 작년과 올해에는 제조업과 의료기관을 대상으로 한 랜섬웨어가 급증하여 저희에게도 많은 고객들의 문의와 의뢰가 있었습니다.

참고글: 제조업, 랜섬웨어 감염 ‘속출’.. 긴급 주의보 발령!

https://blog.naver.com/krdc2023/223777980086

랜섬웨어 감염 시점: 2025년 2월 22일

고객의 지침: 회사의 대표이사는 해커와의 협상을 배제하고, 복구 가능한 방안을 모색하라는 명확한 지시를 내리셨습니다.

초기 조사결과: 여러 랜섬웨어 복구 업체에 문의했으나, 해커 협상만 제안하는 브로커나 NoMoreRansom 사이트의 기본 툴 사용을 권유하는 업체만 존재하였습니다.

KRDC와의 접촉: 고객은 구글 검색을 통해 저희 홈페이지의 전문적인 글을 발견하고, 복구를 의뢰하게 되었습니다.

데이터 현황: D사의 클라우드 백업 서비스 미선택으로 Full Backup 파일은 없었으며, 서버 내 Live DB MDF 파일만 남아 있었습니다.

위급성: 제조 라인이 멈춘 상태로, 하루하루 피해가 가중되고 있었습니다.

요구사항: 신속하고 효과적인 복구가 절실히 필요하였습니다.

[그림 1 랜섬웨어에 감염된 영역의 포렌식화면]

복구 과정

고객은 랜섬웨어 감염 즉시 저희에게 복구를 의뢰했습니다. 

상담 후 복구 방법을 모색하기 시작했고, MDF 파일을 분석하여 데이터 복구 가능성을 평가했습니다. 

저희 팀은 포렌식 기법을 활용해 최대한 많은 데이터를 복구하기 위해 총력을 기울였습니다.

[그림 2 랜섬웨어에 감염안된 정상 데이터영역 포렌식화면]

저희는 제공받은 MDF 파일을 포렌식 기술로 정밀 분석한 결과, 암호화되지 않은 평문 데이터가 다수 존재함을 확인하였고, 이를 바탕으로 높은 복구 가능성을 예측하였습니다. 다행히 복구 대상 MDF 파일은 단일 파일로, 용량은 5.4GB에 불과하였습니다. 이는 과거 한방병원의 경우처럼 16개로 분산된 DB 복구에 비해 훨씬 효율적인 작업을 가능하게 했습니다.

최종적으로 92%의 데이터를 복구하였으며, 특히 최근 '@' 패턴을 포함한 랜섬웨어의 복구율이 두드러지게 높았습니다. 고객이 주기적인 Full Backup 파일을 제공해 주시면 더욱 이상적이겠으나, 대부분의 기업은 백업 없이 운영 중이기에 Live DB MDF 파일만으로 작업 시 손실된 데이터를 추가 복구할 수 없는 구조적 한계가 존재합니다.

만약 주기적인 Full Backup 파일(1주 전, 2주 전, 3주 전)이 제공된다면, 이를 활용해 복구된 데이터를 통합하여 손실을 최소화할 수 있습니다.

[그림3데이터베이스 복구(재건, Reconstruct) 구성도]

[그림 4 복구된 테이블 수량 509개]

복구된 테이블의 수량을 확인한 결과, 총 509개였습니다. 이어서 중요한 테이블의 복구 여부를 점검하였고, 특히 회계관련 핵심 테이블의 716,302개 레코드가 완벽히 복원된 것을 확인하였습니다.

[그림5 데이터가 복구(재건)되어 정상적으로 인식되는 화면]

국내 1위 ERP 기업답게 보안이 철저히 적용된 DB 구조로 인해, 복구된 데이터베이스를 즉시 적용할 수는 없었습니다. 이에 저희는 D사 ERP 엔지니어와 협력하여 SETUP DB를 제공받았고, 복구된 레코드를 해당 DB에 이식하는 방식으로 작업을 진행하였습니다.

[그림  6 제조사에서 제공받은 SETUP DB Table 수량]

SETUP DB의 테이블 수량은 총 4,796개였습니다. 여기서 복구된 509개 테이블을 하나씩 대조하며 데이터를 입력하는 정밀한 작업이 요구되었고, 이는 세심한 노력이 필요한 과정이었습니다.

[그림 7 테이블의 레코드만 입력하는 방식]

최종적으로 ERP 프로그램에서 정상적인 작동을 확인하였으며, 제조사의 엔지니어와 개발자분들이 복구 과정에 적극적으로 협조해 주셨습니다. 랜섬웨어에 감염된 DB의 특성상 무결성을 완벽히 보장할 수는 없었으나, 모든 참여자가 데이터의 정합성을 위해 최선을 다해 주셨습니다. 이 자리를 빌려 도움을 주신 모든 분께 깊은 감사의 마음을 전하며, 앞으로도 더 신속하고 완벽한 복구를 위해 노력하겠습니다.

복구율과 성공 사례

복구 작업이 진행되는 동안 평균 80%의 복구율을 기록하였고, 일부 테이블은 최대 92%까지 복구되는 성과를 거두었습니다. 이러한 높은 복구율은 저희 팀의 전문성과 노력 덕분이었습니다. 고객의 제조 라인이 다시 가동될 수 있도록 하여 큰 효과를 보았습니다.

전문가의 역할

KRDC는 랜섬웨어 연구와 복구 솔루션 제공에 전문성을 가지고 있습니다. 저희 팀은 최신 기술과 노하우를 바탕으로 다양한 랜섬웨어 공격에 대응할 수 있는 능력을 갖추고 있습니다. 특히, 데이터 복구를 위해 'Forensic DataBase ReBuild' 서비스를 통해 FullBackup 파일에서 테이블을 추출하여 새로운 MDF 파일을 만드는 과정을 진행합니다.

고객의 목소리

고객은 저희의 서비스에 대해 매우 만족하였습니다. "초기에는 절망적이었던 상황이었지만, KRDC의 도움으로 다시 모든 시스템을 정상화할 수 있었습니다."라는 이야기를 들려주셨습니다. 고객의 긍정적인 피드백은 저희에게 큰 힘이 되었습니다.

랜섬웨어 예방 방법

랜섬웨어의 위협을 뚫고 안전한 데이터를 지키기 위해서는 백업이 중요합니다. 

클라우드 백업 서비스와 같은 안정적인 시스템을 구축하는 것이 필수적입니다. 

또한, 정기적으로 보안 점검 및 교육을 통해 직원들이 랜섬웨어에 대한 경각심을 유지할 수 있도록 해야 합니다.

랜섬웨어 복구 서비스 문의처

KRDC는 국내에서 유일하게 포렌식 기술을 활용하여 랜섬웨어 복구를 전문적으로 수행하는 기업입니다. MSSQL, Oracle, 가상화 솔루션, NAS 등 주로 기업 환경에서 발생하는 랜섬웨어 피해를 복구하며, 고객의 신뢰를 최우선으로 삼고 있습니다. 랜섬웨어로 인해 어려움을 겪고 계시다면 언제든 저희에게 연락 주십시오. 신속하고 전문적인 해결책으로 도움드리겠습니다.

저희 KRDC는 랜섬웨어 예방 및 복구 서비스를 제공하고 있습니다. 궁금하신 사항이 있으시면 언제든지 아래 연락처로 문의하시기 바랍니다.

상담 번호 : 070-7747-6000

공휴일 문자상담 : 010-2924-8211

웹사이트: WWW.KRDC.CO.KR

랜섬웨어로부터 안전한 데이터 보호를 위해 저희와 함께 하세요. 여러분의 소중한 데이터를 지키는 것이 저희의 사명입니다.

#랜섬웨어 #랜섬웨어복구 #데이터베이스복구 #DB복구 #크립토랜섬웨어 #ERP복구 #즉각복구 #서버복구 #ERP랜섬웨어복구 #랜섬웨어복구방법 #랜섬웨어복구툴   #랜섬웨어복구업체 #MSSQL복구 #MSSQL랜섬웨어복구 #병원랜섬웨어복구 #리커버리데이터 #한국랜섬웨어복구센터 #랜섬웨어침해대응센터 #systemfail #한방병원랜섬웨어복구 #국내1위ERP랜섬웨어복구 #D사ERP랜섬웨어복구