| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- React
- 웹개발
- 위상 정렬
- sk쉴더스 루키즈
- sk 쉴더스 루키즈
- 우테코
- 레나 튜토리얼
- 우아한테크코스
- 예술의 전당
- sk 쉴더스
- 동적분석
- 깃
- top-cert
- 레나튜토리얼
- 루키즈31기
- 자바
- linux
- SK쉴더스루키즈
- 리버싱
- 루키즈 31기
- Practical Malware Analysis Labs
- 프리코스
- sk 쉴더스 루키즈 31기
- 알고리즘
- c
- webhacking
- 백엔드
- 악성코드 분석
- 루키즈
- Dreamhack
- Today
- Total
yon11b
침해사고 조사란? 랜섬웨어·데이터 유출 사고 이후 포렌식이 필요한 이유(SK 쉴더스 Top-CERT팀 발간) 본문
원문
2026.06.18 발간
침해사고 조사란? 랜섬웨어·데이터 유출 사고 이후 포렌식이 필요한 이유 | SK쉴더스
침해사고 조사란? 랜섬웨어·데이터 유출 사고 이후 포렌식이 필요한 이유
침해사고 조사는 단순 복구 비용이 아니라 기업 자산과 신뢰를 지키는 핵심 전략입니다. SK쉴더스 Top-CERT 사례로 랜섬웨어, 데이터 유출, 공급망 사고에서 전문 조사가 필요한 이유를 확인해보세
www.skshieldus.com
무슨 내용인가?
서비스 복구가 끝이 아니다! 침해 사고 조사가 필요한 이유?!
2023년 침해사고 신고 건수: 1200여건
2025년 침해사고 신고 건수: 2400여건
침해 사고 1건당 데이터 유출 비용: 42억원 이상(국내기업평균)
多 기업이 사고 이후 대응 >> "서비스 복구"에만 집중
But, 공격자는 서비스 복구 후에 똑같은 경로로 재침입을 시도할 수 있다.
=> 침해 사고 조사를 통해 공격자의 루트를 파악하고 재발 방지에 기여할 수 있음
=> 포렌식 기법 사용
실제로 침해 사고 조사에서는 뭘 하나요?
1.초기 대응
랜섬웨어: 사고 직후 확보되는 증거가 핵심!!
사례
분류: 온라인 결제 서비스 기업
공격: 랜섬웨어
피해: 결제 시스템 암호화, 백업 데이터 삭제로 인한 서비스 중단
방안: 해커에게 금전 지불 or 시스템 재구축
조사팀
- 시스템 전원이 유지된 상태에서 메모리 덤프 확보 >> BitLocker를 이용해 디스크 암호화한 사실 파악
-> 암호화 과정에서 메모리에 복호화 키 구조가 남을 수 있음. >> 추적
분석 결과
- 메모리에 남아있는 48자리 복구 키 확보
- 해커에게 금전 지불 x. 그냥 바로 원본 데이터 복구 가능했음
결론
- 침해 사고 조사는 단순 사후 분석이 아니라 비즈니스적인 금전적 피해를 줄이는 실질적인 대응 수단이다.
2. 데이터 유출 범위 확인
기업 입장에서는 데이터 유출 범위를 정확하게 파악하지 못하면 과도하게 고객에게 보상을 해줘야 하므로 객관적인 데이터 유출 범위에 대한 조사 결과를 얻어내야 한다.
사례
분류: 이커머스 기업
유출 범위: 관리자 계정, 개인 정보
피해 규모: 모름(공격자가 로그 삭제함)
방안: 전체 고객 정보 100만건 유출에 대한 보상까지 고려해야 했음 >> 법적/재무적 리스크 직결
조사팀
- 디스크 포렌식 >> 삭제 영역, 임시 파일 등 분석 >> 데이터 압축&외부 전송 흔적 발견

분석 결과
-> 전체 고객 정보가 아닌 일부 데이터만 유출됐음을 확인.
-> 개인정보는 마스킹 처리된 상태였음을 확인.
3. 반복 감염을 막는 최초 침투 경로 분석
PC를 포맷하고 서버를 백업본으로 복구했는데도 랜섬웨어가 다시 발생한다?!
-> 문제는 감염된 시스템이 아니라 공격자가 계속해서 들어오는 뚫린 경로가 존재한다는 것!
사례
분류: 제조 기업
공격: 랜섬웨어
피해: 생산 라인 중단
재침투: 관리자 계정 재탈취, 5일간 4차례 추가 공격 시도
추가 피해: 단순 복구의 반복 >> 포맷 비용, 생산 중단 손실, 대응 인력 투입의 금전적 피해 증가
진짜 문제는 시스템이 아니라 뚫린 경로가 존재한다는 것!! 계속 복구만 해서는 해결이 안 되는 문제.
조사 결과
- 외부 웹 서버에 남겨둔 웹쉘을 재침입 통로로 활용하고 있었음

AD 서버가 복구될 때마다 해당 웹쉘을 통해 다시 침입해 관리자 권한을 확보했다.
조치
- 해당 웹 서버의 외부 접근 차단
- MDR 적용 > 관리자 계정 오용, 악성 스크립트 실행 탐지
사후 조치(점검)
- IT망, OT망이 단일 AD 환경으로 운영되는 경우 계정 권한 탈취가 생산망 전체로 확산될 수 있음
-> 계정 관리 체계, 네트워크 점검 해야
4. 공급망 사고 조사
- 공급망 공격은 여러 조직이 동시에 연관되는 만큼 일반적인 침해사고보다 원인 분석이 훨씬 복잡하다.
- 직접 조사 권한이 없는 영역이 존재하기 때문에 사고의 전체 흐름을 파악하기가 더 어려움
사례
분류: 물류 기업
피해: 다크웹에 데이터 올라옴
원인: 협력업체 FTP 서버 털림
한계: 협력업체 시스템 조사 불가
조사팀
- FTP 서버에 남은 난독화 스크립트 >> 역분석 >> 공격자가 사용한 클라우드 저장소 주소, 접근 키 획득!!


기업이 가져야 하는 대응 전략 방향
1. 사고 대응 체계에 침해사고 조사를 반드시 포함한다.
2. 내부에서 해결할 수 없는 경우 전문 침해 사고 조사 조직을 활용해야 한다.
3. 사고 대응을 복구 중심이 아닌 원인 규명 및 재발 방지 중심으로 전환해야 한다.
Q. 침해 사고 조사는 언제 시작해야 하나요?
A. 침해가 의심되는 즉시. 포맷, 재설치, 로그 삭제이후에는 중요한 증거가 사라질 수 있음