서울 소재 대형 사교육 교육센터가 주말 토요일 새벽 신종·변종 랜섬웨어의 기습 공격을 받았습니다. 방화벽·IPS·EDR 등 강력한 보안 장비를 모두 운영 중이었으나 보안망을 우회한 맞춤형 공격에 뚫렸고, 운영 핵심인 6GB 규모의 MSSQL 서버(MDF 파일)가 암호화됐습니다. 확장자를 무작위로 바꾸는 유형이었으며, 물리적으로 분리된 오프라인 백업이 없어 운영 중이던 라이브 DB만 감염된 최악의 상황이었습니다.
BaileyTech 기술진은 주말임에도 비상 대응에 돌입해, 보안 NAS로 이관받은 감염 MDF 파일에 디지털 포렌식 분석을 진행했습니다. 엔트로피 분석 결과 전체 데이터의 약 25~35%가 손상됐고, 특히 저장 프로시저·뷰·함수·FK 등 메타데이터 영역의 감염도가 높았습니다. 다만 자체 포렌식 기법으로 암호화되지 않은 나머지 약 75% 영역을 재구성해 추출할 수 있다는 진단을 도출했습니다.
이후 일요일 당일 연속 복구 작업을 수행해, 포렌식 분석 시작 후 단 8시간 만에 결제 정보와 회원 데이터 등 핵심 테이블을 CSV 형태로 약 75% 추출하는 데 성공했습니다. 저장 프로시저·뷰·함수 등 비테이블 메타데이터 영역은 최종 약 40%를 복구했습니다. 복구된 DB를 고객사 서버로 안전하게 마이그레이션해, 감염 다음 날인 월요일 교육 서비스를 정상 재개시켰습니다.
BaileyTech는 보안 장비 도입만으로는 방어가 보장되지 않으며 AI를 악용한 자율형 공격이 확산되고 있다는 점을 경고했습니다. 또한 네트워크나 AD 계정으로 연결된 백업은 1순위 파괴 대상이 되므로, 원격 접근이 불가능한 물리적 에어갭 단방향 백업 구축과 제로 트러스트 방어 전략 재수립이 필수라고 강조했습니다.
