서울 소재 중견기업이 ERP(전사적 자원관리) 시스템을 운영하던 중 랜섬웨어 공격을 받았습니다. 메인 서버는 물론 풀백업 서버까지 총 8대가 동시에 암호화되면서 라이브 DB(MDF)와 백업 파일(BAK)이 모두 잠겨 전사 업무가 마비되고 일일 매출 손실이 발생했습니다. 시중 복구 업체 다수가 실제 복구가 아닌 해커 협상 대행 위주여서, 고객사는 먹튀 위험을 우려해 협상을 포기하고 BaileyTech의 기술적 포렌식 복구를 선택했습니다.
BaileyTech는 해커에게 비용을 지불해 키를 받는 방식이 아니라, 디지털 포렌식으로 손상된 데이터베이스를 직접 재건(Reconstruct)하는 방식을 택했습니다. 랜섬웨어가 MDF 같은 대용량 파일은 헤더와 중간 일부(약 10%)만 감염시키는 특성을 활용해, 우선 포렌식 도구로 암호화 영역과 평문으로 남은 정상 영역을 구분하는 정밀 섹터 진단을 수행했습니다.
이어 데이터베이스의 최소 단위인 페이지(Page)를 전수 조사해 감염되지 않은 정상 페이지를 추출한 뒤 별도 스토리지로 옮겨 DB를 재조립했습니다. ERP 제조사가 공용 DB를 제공하고 엔지니어·개발자가 협력해, 복구된 데이터가 ERP 프로그램에서 정상 동작함을 검증하며 정합성을 확보했습니다.
최종적으로 테이블 데이터·프로시저·함수 등 핵심 요소를 재건해 약 92%의 복구율을 달성했습니다. BaileyTech는 풀백업까지 감염된 상황에서는 일반 백업 복구가 불가능함을 지적하며, 관리자 권한 탈취에도 견디는 물리적 단방향 백업 솔루션 도입을 재발 방지책으로 권고했습니다.
