본문 바로가기
KRDC

병원 환자정보 DB MSSQL 랜섬웨어, 포렌식으로 복구 성공! 데이터 복구 전문가의 노하우

KRDC 2025. 1. 13. 17:24

2025년 1월, 서울 소재 중대형 병원은 랜섬웨어 공격으로 인해 20년간 축적된 소중한 환자 정보를 잃을 위기에 처했습니다. MSSQL 데이터베이스가 암호화되어 모든 서비스가 마비되고, 환자들의 민원이 폭주하며 병원은 큰 혼란에 빠졌습니다.

KRDC는 최첨단 포렌식 기술을 활용하여 암호화된 데이터에서 평문 데이터를 복구하는 데 성공했습니다.

병원 환자정보 DB MSSQL 랜섬웨어 복구 성공 사례

이 글은 중급 이상의 컴퓨터 지식이 있는 사람을 대상으로 작성되었습니다.

기초적인 컴퓨터 지식에 대한 설명은 생략했습니다.

2025년 1월 3일 서울의 중대형 병원에서 전화가 왔습니다. 환자정보 DB MSSQL 서버가 랜섬웨어에 감염되어 모든 서비스에 문제가 생겼고 민원때문에 고생하고 있다는 전화였습니다. 방문하여 현 상황을 알아보니 앞이 캄캄했습니다.

랜섬웨어 감염 후 진행 상황을 시간순으로 한번 정리해 봤습니다.

1. 랜섬웨어 감염 시기는 12월 17일

2. 브로커를 통해 해커와 협상을 진행했으나 해커가 1MB 이상 샘플파일을 복구테스트 안해주는 상황 발생. 100MB 이상 복호화가 안되는 문제로 판단 됨. (최근 이런 증상이 동일하게 많이 발생함)

3. 해커를 설득해도 1MB 이상 복구 테스트 안해 줌. 그래서 해커와 협상이 결렬됨

4. 인터넷에 홍보하고 있는 모든 랜섬웨어 복구업체 문의 결과: 해커들과 협상 하는 브로커들로서 랜섬웨어에 감염된 MSSQL 복구는 안된다고 답변 받은 상태

5. 감염된 디스크를 빼고 새로운 디스크로 깡통 Table을 넣어 신규만 입력되게 운영

6. 과거 데이터는 전 직원이 수동으로 하나씩 입력하고 있는 상태임

7. 간호사 및 관리부서 등 모든 직원들이 민원 스트레스로 퇴사하는 사람이 발생함

8. 전산팀장이 1월 3일 새벽 KRDC 블로그 글을 읽고 희망이 생김

9. 9시 출근하는 부원장에게 보고 함

10. 상담 전화를 받고 현장을 방문하고 상황을 파악함

11. 병원 특성상 20년 환자 데이터가 저장되어 있고, 500GB MDF를 제공받음

12. 제공할 수 있는 파일은 감염된 MDF만 가능한 최악의 상황임

13. 지금까지 제공받은 MDF, BAK 파일의 최대 크기는 150GB가 최고였음.

14. 8년간 랜섬웨어를 연구하면서 맞이한 최악의 상황

[고객에게 제공받은 MDF 파일]

 

제공받은 MDF파일을 포렌식으로 열어본 결과 평문(암호화안된) 데이터가 존재하는 것을 확인 하였고 조금이나마 희망이 생겼습니다.

[제공받은 랜섬웨어 감염MDF파일 데이터 확인]

주기적인 FullBackup 파일을 제공해주었으면 복구(재건)하는 상황이 더 좋겠지만 고객의 상황은 Live DB MDF만 제공해 줄 수 있는 상황이였습니다. MDF만 제공 시 손실된 데이터를 추가로 복구 할 수 없는 구조입니다. 주기적인 FullBackup을 제공해 줄 경우 1주전 FullBackup, 2주전 FullBackup, 3주전 FullBackup을 복구하여 빠진 데이터를 합치면 됩니다.

Table과 Data 추출은 아래 글 참조하시면 됩니다.

https://blog.naver.com/krdc2023/223697949970

 

[데이터베이스 복구(재건, Reconstruct) 구성도]

 

전체 테이블은 670개 테이블이였으며, 복구된 테이블은 560개 입니다.

그 중 가장 중요한 환자의 인적정보, 내원정보, 처방정보, 상병정보 등은 데이터가 살아남아 복구(재건)하였습니다. 데이터가 암호화되어 복구안 된 테이블의 데이터는 MDF에서 추가로 진행할 수 없습니다, 즉, 정상적인 데이터영역만 복구가 가능합니다.

[데이터가 복구(재건)되어 정상적으로 인식되는 화면]

 

이번 글은 중대형 병원에서 랜섬웨어로 암호화 되어 인식안되는 환자 DB MSSQL랜섬웨어 복구를 진행하였습니다.

KRDC는 국내에서 유일하게 포렌식으로 랜섬웨어 복구를 진행 하고있습니다.

MSSQL. Oracle, 가상화 솔루션, NAS 등 주로 기업의 장비에서 랜섬웨어 감염 시 복구하고 있습니다.

랜섬웨어 이슈가 있으시면 언제든지 연락주세요 빠르게 해결해 드리겠습니다.

왜 KRDC인가요?

  • 국내 유일 포렌식 기반 랜섬웨어 복구: 다양한 유형의 랜섬웨어에 대한 깊이 있는 이해와 노하우
  • MSSQL, Oracle 등 다양한 데이터베이스 지원: 고객의 환경에 맞는 최적의 복구 솔루션 제공
  • 빠르고 정확한 복구: 최소한의 시간과 비용으로 데이터를 복구

상담 번호 : 070-7747-6000

https://www.krdc.co.kr

#랜섬웨어 #랜섬웨어복구 #데이터베이스복구 #DB복구 #크립토랜섬웨어 #ERP복구 #즉각복구 #서버복구 #ERP랜섬웨어복구 #랜섬웨어복구방법 #랜섬웨어복구툴 #랜섬웨어복구업체 #MSSQL복구 # MSSQL랜섬웨어복구 #병원랜섬웨어복구 #리커버리데이터 #한국랜섬웨어복구센터 #랜섬웨어침해대응센터

'KRDC' 카테고리의 다른 글

크립토 랜섬웨어 데이터 복구, 왜 어려울까요? - 한국랜섬웨어방어센터가 해법을 제시합니다.  (0) 2025.02.21
클라우드 서버 MSSQL DB 랜섬웨어 감염! 멘붕 온 네트워크 담당자의 SOS... (ft. 복구 성공 스토리)  (0) 2025.02.03
가상화 솔루션 VHDX 랜섬웨어 복구 방법  (0) 2025.01.02
랜섬웨어에 감염된 PC, 포렌식으로 데이터 복구하는 완벽 가이드 (Autopsy 사용법 상세 설명)  (0) 2024.12.26
ERP MSSQL DB 랜섬웨어 복구 성공사례  (0) 2024.12.18

'KRDC' Related Articles

티스토리툴바