[2026] 랜섬웨어 걸렸을 때 파일 복구하는 법: 몸값 지불 없이 90% 이상 되살리는 가이드 (feat. Recoverit)

2025년 한 해만 해도 예스24, SGI서울보증 등 대형 기업들이 랜섬웨어 공격으로 서비스 전체가 마비되는 사태를 겪었습니다. 랜섬웨어 사고는 전년 대비 3배 이상 급증하고 있으며, 이제는 기업만의 문제가 아닙니다. 개인 PC, 가정용 외장하드, 소규모 사업자의 컴퓨터까지 무차별적으로 공격하고 있습니다.

특히 2025년 이후 랜섬웨어는 단순히 파일을 잠그는 수준을 넘어, 데이터를 외부로 먼저 유출한 뒤 암호화까지 진행하는 이중 갈취(Double Extortion) 방식으로 빠르게 진화하고 있습니다. 즉, “파일을 복구하지 못하게 만드는 것”과 “유출 데이터를 공개하겠다고 협박하는 것”이 동시에 일어나는 구조입니다. 이 때문에 최근 랜섬웨어 대응은 단순 복구 문제가 아니라 데이터 유출, 개인정보 침해, 업무 연속성, 법적 리스크까지 함께 고려해야 하는 보안 사고 대응 영역으로 확장되고 있습니다.

이 글에서는 랜섬웨어 복구를 위해 지금 당장 해야 할 행동부터, 랜섬웨어 파일 복구를 위한 무료 도구 활용법, 전문 복구 프로그램 활용법, 그리고 재감염을 막는 설정까지 2026년 최신 기준으로 완전히 정리합니다.

단순한 사용 가이드를 넘어, 왜 이런 순서로 대응해야 하는지, 어떤 경우는 무료 복호화가 가능하고 어떤 경우는 데이터 복구 방식으로 접근해야 하는지, 그리고 실제 복구 성공률을 높이는 조건은 무엇인지까지 단계적으로 설명합니다.

몸값은 절대 먼저 지불하지 마세요. 복구할 수 있는 방법이 생각보다 많습니다.

파트 1. 랜섬웨어란 무엇인가? 2026년 현재 얼마나 위험한가

랜섬웨어(Ransomware)는 '몸값(Ransom)'과 '소프트웨어(Software)'의 합성어입니다. 피해자의 파일을 강력한 암호화 알고리즘으로 잠근 뒤, 복호화 키를 대가로 금전을 요구하는 악성코드입니다.

기술적으로는 단순 바이러스와 다릅니다. 대부분의 현대 랜섬웨어는 파일을 무작위로 손상시키는 것이 아니라, AES 같은 대칭키로 실제 파일 데이터를 먼저 암호화한 뒤, 그 키 자체를 RSA 또는 ECC 공개키로 다시 보호하는 하이브리드 암호화 구조를 사용합니다. 이 구조 때문에 공격자의 개인키가 없으면 복호화가 극히 어렵고, 그래서 “백신으로 치료”하는 개념만으로는 해결되지 않는 경우가 많습니다.

2025~2026년 랜섬웨어 현황:

2025년 1분기 기준 랜섬웨어 공격 건수는 전년 동기 1분기 대비 약 3배 증가했습니다. 국내에서는 예스24가 랜섬웨어 공격으로 수일간 서비스가 중단되었고, SGI서울보증도 동일한 피해를 입어 금융 서비스가 마비되었습니다. SK텔레콤 해킹 사태 이후 보안 불안이 극도로 높아진 2025년 하반기, 공격자들은 개인과 중소기업을 주요 타깃으로 삼기 시작했습니다.

이 변화가 중요한 이유는 과거처럼 “대기업만 노린다”는 통념이 더 이상 맞지 않기 때문입니다. 최근 공격자는 보안 인력이 부족하고 백업 전략이 허술한 개인 사용자, 병원, 학원, 회계사무실, 중소 쇼핑몰 운영자를 더 쉬운 먹잇감으로 보는 경향이 강합니다. 실제로 감염 경로도 피싱 이메일, 불법 소프트웨어, RDP 취약점, 브라우저 광고, 악성 문서 파일 등 사용자가 일상적으로 접하는 경로로 넓게 퍼져 있습니다.

또한 랜섬웨어 조직은 ‘Ransomware-as-a-Service(RaaS)’라는 서비스형 범죄 모델을 운영하는 경우가 많습니다. 쉽게 말해, 핵심 개발 조직은 랜섬웨어 플랫폼과 결제 시스템, 협상 페이지를 제공하고, 실제 침투는 제휴 공격자들이 맡아 수익을 나누는 구조입니다. 이 때문에 변종이 매우 빠르게 늘어나고, 한 번 해체된 그룹도 이름만 바꿔 재등장하는 일이 반복됩니다.

랜섬웨어는 왜 이렇게 복구가 어려운가?

• 공격자가 군사 수준의 암호화 알고리즘을 사용함
• 복호화 키가 로컬 PC가 아니라 외부 서버에 저장되는 경우가 많음
• 윈도우 복원 지점, VSS(볼륨 섀도 복사본), 백업 파일을 먼저 삭제함
• 원본 파일 삭제 후 암호화된 새 파일을 생성하는 방식이 많아 직접 복원이 어려움
• 최근 변종은 데이터 탈취까지 병행해 단순 복호화로 끝나지 않음

랜섬웨어가 감염되는 주요 경로:

• 이메일 첨부파일 (가짜 택배 송장, 계약서, 이력서 위장)
• 악성 웹사이트 방문 (드라이브 바이 다운로드)
• 크랙·불법 소프트웨어 설치 파일에 포함
• 원격 데스크톱(RDP) 취약점을 통한 침투
• USB 드라이브 연결

최근에는 단순한 .exe 파일보다 .docm, .xlsm 같은 매크로 문서, 가짜 PDF 설치기, ZIP 안에 숨겨진 실행 파일, 가짜 브라우저 업데이트 형태가 더 자주 사용됩니다. 사용자는 ‘문서를 열었다’고 생각하지만 실제로는 스크립트를 실행해 감염이 시작되는 식입니다.

감염 시 나타나는 증상:

• 파일 확장자가 .enc, .locked, .crypted, .WNCRY 등 낯선 형태로 바뀜
• 파일을 열면 "Your files have been encrypted" 또는 한글로 "파일이 암호화되었습니다" 메시지 출력
• 바탕화면이 몸값 요구 이미지로 바뀜
• 각 폴더에 README.txt, DECRYPT_INSTRUCTIONS.txt 등 텍스트 파일 생성
• PC가 갑자기 느려지거나 CPU 사용률이 100%에 가까워짐

랜섬웨어 공격은 보통 어떤 순서로 진행될까?

많은 사용자는 감염 순간만 보지만, 실제 공격은 다음 같은 순서로 진행됩니다. 먼저 피싱 메일, 취약한 원격 접속, 불법 프로그램 설치로 초기 침투가 일어납니다. 그 다음 관리자 권한을 획득하고 보안 프로그램을 우회하거나 중지합니다. 이후 네트워크 공유 폴더와 백업 위치를 탐색한 뒤, 마지막으로 파일 암호화와 몸값 요구가 진행됩니다. 이 순서를 알면 왜 ‘전원을 바로 끄지 말고 먼저 격리하라’고 하는지 이해하기 쉬워집니다. 이미 메모리 안에서 실행 중인 프로세스를 갑자기 종료하면 분석에 필요한 정보와 복구 단서가 사라질 수 있기 때문입니다.

⚠️ 중요: 위 증상이 보이는 순간 즉시 아래 행동 3가지를 먼저 하세요. 1초가 복구 성공률을 좌우합니다.

파트 2. 랜섬웨어 감염 즉시 실행해야 할 골든타임 대응 단계

1단계 | 감염 즉시 해야 할 3가지 행동

인터넷을 즉시 차단하고 랜케이블을 뽑거나 Wi-Fi를 끄세요. PC 전원은 끄지 말고 USB·외장하드 등 연결된 모든 저장장치를 분리하고, 구글 드라이브·OneDrive 등 클라우드 동기화도 즉시 중지하세요.

이 조치는 단순히 “확산 방지”만을 위한 것이 아닙니다. 랜섬웨어는 같은 네트워크에 연결된 NAS, 공유 드라이브, 백업 폴더, 동기화 폴더까지 암호화 대상으로 삼는 경우가 많습니다. 특히 OneDrive, Dropbox, Google Drive처럼 자동 동기화가 켜져 있으면 로컬에서 암호화된 파일이 클라우드 버전까지 덮어써질 수 있습니다. 따라서 감염 직후 가장 중요한 것은 추가 손실을 막는 격리(Isolation)입니다.

2단계 | 랜섬웨어 종류 확인

다른 기기로 id-ransomware.malwarehunterteam.com에 접속해 몸값 요구 파일 또는 암호화된 파일을 업로드하면 종류와 복호화 가능 여부를 확인할 수 있습니다.

이 단계가 중요한 이유는 랜섬웨어마다 복호화 가능성이 완전히 다르기 때문입니다. 예를 들어 STOP/Djvu 계열은 오프라인 키를 사용한 일부 감염에서 복호화 가능성이 있지만, LockBit 3.0이나 최신 Cl0p 변종은 사실상 무료 복호화가 매우 어렵습니다. 즉, 이름을 알아야 대응 전략이 정해집니다.

3단계 | 무료 복호화 도구 시도

nomoreransom.org/ko에서 랜섬웨어 이름으로 검색해 복호화 도구를 찾으세요. 실행 전 암호화된 파일을 반드시 별도 드라이브에 백업해두세요.

nomoreransom.org/ko 접속

1. [복호화 도구] 탭 클릭 → 랜섬웨어 이름 검색
2. 해당 복호화 도구 다운로드 (감염된 PC가 아닌 다른 PC에서)
3. 도구 실행 전 반드시 암호화된 파일 원본을 별도 드라이브에 백업
4. 복호화 도구 실행 → 암호화된 폴더 지정 → 복호화 시작

무료 복호화 도구를 쓸 때 주의할 점

• 반드시 감염 원본과 암호화 파일을 별도 드라이브에 먼저 복사해둡니다.
• 복호화 도구는 감염된 PC보다 별도 정상 PC에서 다운로드하는 것이 안전합니다.
• 도구가 지원하는 정확한 변종/버전을 확인해야 합니다.
• 복호화 도중 파일을 다시 덮어쓸 수 있으므로 테스트 파일로 먼저 검증합니다.

중요한 점은 “무료 도구가 없으면 끝”이 아니라는 것입니다. 무료 복호화는 암호화 자체를 푸는 방식이고, 데이터 복구는 암호화 이전의 원본 흔적을 찾는 방식입니다. 둘은 완전히 다른 접근입니다. 많은 사용자가 이 둘을 혼동해 복구 기회를 놓칩니다.

4 단계 | Wondershare Recoverit으로 랜섬웨어 피해 파일 복구

무료 복호화 도구도 없고, VSS도 삭제된 상황이라면 전문 랜섬웨어 복구 프로그램이 필요합니다. Wondershare Recoverit은 랜섬웨어가 파일을 암호화하기 이전에 드라이브에 남아있는 원본 데이터 흔적을 딥스캔으로 찾아내는 방식으로 작동합니다.

랜섬웨어는 원본 파일을 즉시 덮어쓰지 않고, 원본을 삭제한 뒤 암호화된 새 파일을 생성하는 방식으로 작동하는 경우가 많기 때문에 Recoverit의 딥스캔 기능은 이 논리적으로 삭제된 원본 파일을 찾아냅니다.

이 부분이 기술적으로 매우 중요합니다. 파일 시스템에서 ‘삭제’는 보통 데이터를 즉시 지우는 것이 아니라, 그 공간을 다시 사용할 수 있다고 표시하는 수준에서 끝납니다. 따라서 암호화 직후 추가 쓰기가 많지 않은 경우에는 삭제된 원본의 일부 또는 전체 블록이 디스크에 남아 있을 수 있습니다. Recoverit은 바로 이 잔여 블록, 파일 시그니처, 메타데이터 흔적을 분석하는 방식으로 복구를 시도합니다.

즉, Recoverit이 랜섬웨어를 복호화하는 것은 아닙니다. 대신 암호화 이전의 원본 파일을 파일 시스템 레벨에서 다시 찾아내는 데이터 복구 방식입니다. 무료 복호화 도구가 없는 경우에도 Recoverit 접근이 여전히 의미 있는 이유가 바로 여기에 있습니다.

Recoverit이 특히 유효한 경우

• 복호화 도구가 아직 공개되지 않은 최신 변종일 때
• VSS와 시스템 복원 지점이 이미 삭제된 경우
• 문서, 사진, 영상 등 원본이 연속 블록으로 저장된 경우
• 감염 직후 추가 작업을 거의 하지 않아 디스크 덮어쓰기가 적은 경우
• 외장하드, 보조 저장장치, 파티션에서 원본 흔적이 남아 있을 가능성이 있을 때

Wondershare Recoverit 랜섬웨어 복구 단계별 가이드:

단계별 복구 가이드

1단계. 원더쉐어 리커버릿 홈페이지에서 다운로드합니다. 감염된 드라이브가 아닌 외부 USB 또는 다른 드라이브에 설치하세요.

2단계. 감염 드라이브 선택 Recoverit 실행 → [하드 드라이브 및 위치]에서 감염된 드라이브를 선택하고 [시작]을 클릭합니다.

3단계. 스캔 및 미리보기 딥스캔 완료 후 파일 형식 필터에서 문서·사진 등을 선택하고, [미리보기]로 암호화 이전 원본 파일인지 확인하세요.

4단계. 복구 및 저장 복구할 파일 선택 후 [복구]를 클릭합니다. 저장 위치는 반드시 감염 드라이브가 아닌 외부 드라이브로 지정하세요.

Recoverit 사용 시 복구 성공률을 높이는 팁

• 감염 후 해당 드라이브에 새 파일을 저장하지 마세요.
• 프로그램 설치 위치는 감염 드라이브가 아닌 다른 파티션이나 외부 드라이브로 설정하세요.
• 문서, 사진, 영상처럼 중요한 형식 위주로 먼저 필터링해 스캔 시간을 줄이세요.
• 파일명보다 미리보기 결과를 기준으로 복구 우선순위를 정하세요.
• 복구 파일 저장 위치를 감염된 원본 드라이브로 선택하지 마세요.

💡 스캔과 미리보기는 무료입니다. 복구 가능 여부를 먼저 확인한 뒤 유료 플랜으로 결정해도 늦지 않아요.

기업·사무실 환경이라면 추가로 확인해야 할 것

회사 PC, NAS, 공유 폴더, 회계 자료 서버가 감염된 경우 개인 PC와 대응 방식이 조금 다릅니다. 랜섬웨어 감염 흔적을 조사해야 하기 때문에, 가능하다면 로그를 보존하고 보안 담당자 또는 외부 대응 업체와 함께 진행하는 것이 좋습니다. 특히 동일 네트워크에 여러 PC가 연결돼 있었다면 한 대만 복구한다고 끝나지 않습니다. 원격 접속 계정 탈취, 관리자 계정 재사용, VPN 취약점 같은 초기 침투 경로가 남아 있으면 재감염 위험이 매우 높습니다.

다양한 기기에서 삭제되거나 잃어버린 동영상 복구 가이드

리커버릿 사용자 후기

실수로 포맷해버린 SD 카드의 사진을 거의 다 잃어버릴 뻔했어요. 리스본 여행 사진도 전부 잃어버린 줄 알았는데, Wondershare Recovery 덕분에 순식간에 모든 사진을 되찾을 수 있었답니다.

파트 3. 랜섬웨어 재감염 방지 필수 설정 5가지

랜섬웨어 복구에 성공했다면, 이제 가장 중요한 것은 재발 방지입니다. 아래 5가지 설정을 지금 바로 적용하면 랜섬웨어 피해 가능성을 90% 이상 줄일 수 있습니다.

설정 1. Windows Defender 강화

[Windows 보안] → [랜섬웨어 방지] → 제어된 폴더 액세스를 켜세요. 허가되지 않은 앱이 문서·사진 폴더에 접근하는 것을 차단합니다.

설정 2. 3-2-1 백업 규칙 실천

데이터 복사본 3개를 2가지 매체(외장하드 + 클라우드)에 보관하고, 1개는 반드시 오프라인에 두세요. 마지막으로 백업 후 외장하드는 연결을 해제하세요.

설정 3. 윈도우 자동 업데이트 유지

WannaCry 등 대형 랜섬웨어는 모두 윈도우 취약점을 악용했습니다. [설정] → [Windows 업데이트]에서 항상 최신 상태를 유지하세요.

설정 4. 이메일 첨부파일 주의

출처 불명의 첨부파일(.exe, .zip, .docm)은 절대 열지 마세요. Office 파일의 [콘텐츠 사용] 버튼도 누르지 마세요.

설정 5. RDP 비활성화

사용하지 않는다면 [시스템 속성] → [원격] → 원격 데스크톱 연결 허용을 해제하세요. 꼭 써야 한다면 VPN과 함께 사용하세요.

추가로 적용하면 좋은 고급 보안 설정

• 로컬 관리자 계정과 일반 사용자 계정을 분리해 사용
• 중요 PC는 다중 인증(MFA) 적용
• 백업 드라이브는 평소 분리 보관하고 주기적으로 복구 테스트 실행
• 공유 폴더 권한을 최소화하고 Everyone 쓰기 권한 제거
• 매크로 자동 실행 차단, 스크립트 실행 정책 강화

특히 ‘백업이 있다’는 사실만으로 안전하다고 볼 수 없습니다. 실제 랜섬웨어 사고에서 가장 많은 실패 원인은 백업 자체가 암호화됐거나, 복원 테스트를 해본 적이 없어 복구 시점에 동작하지 않는 경우입니다. 따라서 백업 정책은 단순 저장이 아니라 정기 복원 검증까지 포함해야 완성됩니다.

마무리하며

랜섬웨어는 한 번 걸리면 100% 복구가 보장되지 않습니다. 하지만 지금 이 글에서 소개한 순서대로 차분히 대응하면 생각보다 많은 파일을 살릴 수 있습니다. 감염 즉시 인터넷 차단 → 랜섬웨어 종류 확인 → 무료 복호화 도구 시도 → Wondershare Recoverit으로 랜섬웨어 복구 시도 순서를 꼭 기억하세요.

핵심은 ‘몸값을 먼저 낼까?’를 고민하는 것이 아니라, 증거 보존 → 확산 차단 → 변종 식별 → 무료 복호화 → 원본 데이터 복구라는 올바른 순서를 지키는 것입니다. 이 순서가 맞아야 복구율이 올라가고, 재감염 위험도 낮아집니다.

👉 지금 바로 리커버릿에서 무료 스캔으로 복구 가능 파일을 확인해보세요.