충청도 소재의 한 기업이 연구용으로 사용하던 시놀로지 NAS(8TB 디스크 4개, SHR 구성)가 랜섬웨어 공격을 받았습니다. 핵심 데이터가 암호화되며 업무가 마비됐고, 여러 복구 업체에 문의했으나 복구가 가능하다고 답한 곳이 없는 상황에서 BaileyTech에 연락했습니다.
BaileyTech는 2024년 10월 28일 문의 직후 추가 피해를 막기 위해 NAS를 즉시 셧다운하도록 안내했습니다. 이후 SHR로 구성된 디스크를 하나씩 안전하게 분리하고, 원본 무결성을 지키기 위해 각 디스크의 포렌식 이미지를 별도로 제작했습니다. 암호화 파일을 복호화하는 대신, 디스크에 남은 파일 헤더의 흔적을 찾아 살려내는 디지털 포렌식 방식으로 접근했습니다.
HxD 등 포렌식 툴로 MS-Office 등 파일 헤더의 생존 여부를 검증하고, 자체 개발한 AI·머신러닝 기반 추출 프로그램으로 파일을 복원했습니다. 추출 결과는 원본 파일명·데이터의 생존 여부에 따라 분류했고, 확장자별 샘플 100개를 기준으로 복구율을 산정해 사전 안내했습니다.
NAS 랜섬웨어 복구율은 일반적으로 30~70% 수준으로, 랜섬웨어 종류·제조사·RAID 구성·셧다운 시점에 따라 달라집니다. RAID 없이 사용한 NAS는 최대 70%, SHR로 구성한 시놀로지 NAS는 약 30%의 복구율을 보였습니다. 단, Secure Erase나 RAID가 풀린 경우는 복구가 불가능하며, BaileyTech는 재감염 예방책으로 BTRFS 파일시스템과 스냅샷 스케줄 백업을 권장했습니다.
