BaileyTech가 랜섬웨어에 감염된 MSSQL 데이터베이스 서버를 AI 기반 디스크 포렌식 기법으로 복구한 방법과 사례를 다룹니다. 랜섬웨어는 드라이브 자체를 잠그는 락커 계열(예: 비트락커)과 파일 단위로 암호화하는 크립토 계열로 나뉩니다. 해커는 서버 침투 후 백신·보안 프로세스를 무력화하고 복구를 막기 위해 섀도우(볼륨) 백업까지 삭제하기 때문에 피해가 커집니다.
복구의 핵심은 암호화된 파일을 해독하는 것이 아니라, 디스크 전 영역에서 손상되지 않은 정상 MDF·BAK 파일을 추출해 내는 데 있습니다. BaileyTech는 추가 암호화를 막기 위해 감염 서버에서 직접 복구하지 않고, WTG(Windows To Go)로 외장 부팅한 뒤 피지컬 이미지를 생성합니다. 통상 1TB 디스크 이미지 작업에는 약 6시간이 소요되며, 이후 FTK Imager로 이미지를 마운트해 디스크를 인식시킵니다.
확보한 디스크에서 삭제 영역·휴지통·MBR 영역까지 전 영역을 스캔하고, 정상 MDF와 암호화된 MDF의 시그니처를 학습시킨 자체 인공지능으로 정상 파일만 선별 추출합니다. 추출된 MDF·BAK 파일은 MSSQL에 다시 적재해 데이터베이스를 복원합니다. BaileyTech는 이 AI 기반 정상 MDF·BAK 추출 프로그램을 직접 개발해 활용하고 있습니다.
다만 포렌식과 AI가 만능은 아니며 실패 사례도 존재합니다. 또한 큰 비용을 들이거나 해커에게 금전을 지불해도 네트워크 접속 경로가 남아 있으면 재공격 위험이 있고, 소프트웨어 백업은 관리자 권한 탈취 시 함께 파괴될 수 있습니다. 하드웨어 레벨에서 유출 경로를 차단하는 데이터 다이오드 기반 백업의 중요성을 함께 강조합니다.
