국내 1위 D사 ERP 서버 랜섬웨어 복구 성공 사례: 데이터베이스 92% 복구!

국내 1위 D사 ERP 서버 랜섬웨어 복구 성공 사례

랜섬웨어는 최근 몇 년간 기업과 개인에게 심각한 사이버 보안 위협으로 부상한 악성 소프트웨어입니다. 감염된 시스템에서는 파일이 암호화되어 접근이 불가능해지며, 해커는 데이터 복구를 대가로 금전을 요구합니다. 이번 포스트에서는 2025년 2월 우리 한국 랜섬웨어 방어 센터(KRDC)에서 국내 1위 D사의 ERP 서버 랜섬웨어 복구 성공 사례를 상세히 소개하고자 합니다.

​

[랜섬웨어의 작동 방식[

랜섬웨어란?

랜섬웨어는 데이터를 암호화하거나 시스템을 잠그고 그 해제를 조건으로 금전을 요구하는 악성 프로그램입니다. 기업의 경우, 랜섬웨어 공격으로 인해 모든 비즈니스 프로세스가 중단될 수 있으며, 실제로 많은 기업들이 이로 인해 심각한 피해를 겪었습니다. 작년과 올해에는 제조업과 의료기관을 대상으로 한 랜섬웨어가 급증하여 저희에게도 많은 고객들의 문의와 의뢰가 있었습니다.

참고글: 제조업, 랜섬웨어 감염 ‘속출’.. 긴급 주의보 발령!

​

D사 ERP 서버의 상황

이번 랜섬웨어 감염 사건은 2월 22일에 발생했습니다. 경기도의 중견기업 D사의 ERP 서버가 랜섬웨어에 감염되어 모든 제조 라인이 중단되었고, 매일 누적되는 손실이 심각했습니다. 고객은 사전에 클라우드 백업 서비스를 선택하지 않아 백업본이 없는 상태였습니다. 현장 조사 결과, Live DB의 MDF 파일만 존재했으며 해당 파일이 감염된 것을 확인했습니다.

​

[사건 개요]

• 피해 기업: 경기도 소재 중견기업, 국내 1위 D사 ERP 시스템 사용
• 랜섬웨어 감염 시기: 2025년 2월 22일
• 피해 상황: ERP 서버 MSSQL 데이터베이스 파일(.MDF) 랜섬웨어 감염, 제조 라인 전체 중단
• 특이 사항: D사의 클라우드 백업 서비스 미사용으로 백업 파일 전무

​

1. 랜섬웨어 감염 시기는 2월 22일

2. 대표님은 해커와 협상은 안된다고 복구 할 수 있는 방법을 찾아보라고 지시함

3. 모든 랜섬웨어 복구업체 문의 결과 해커 협상만 하는 브로커 또는 No More Ransom 사이트에서 제공하는 툴로 진행해 보는 업체만 있었음.

4. 구글 검색을 통해 저희 블로그 글을 보게되었고 복구를 요청함.

5. D사의 클라우드 백업 서비스를 선택하지 않아 Full BackUp 파일은 없고 서버의 Live DB MDF만 있음.

6. 당장 제조 라인이 멈춘 상황이라 하루하루 피해가 늘어나는 상태임

7. 최대한 빠른 복구가 필요한 상황

​

[그림 1 랜섬웨어에 감염된 영역의 포렌식화면

​

복구 과정

고객은 랜섬웨어 감염 즉시 저희에게 복구를 의뢰했습니다. 상담 후 복구 방법을 모색하기 시작했고, MDF 파일을 분석하여 데이터 복구 가능성을 평가했습니다. 저희 팀은 포렌식 기법을 활용해 최대한 많은 데이터를 복구하기 위해 총력을 기울였습니다.

​

[그림 2 랜섬웨어에 감염안된 정상 데이터영역 포렌식화면]

제공받은 MDF파일을 포렌식으로 열어본 결과 평문(암호화안된) 데이터가 존재하는 것을 확인 하였고 예상되는 복구율은 매우 높아보였습니다. 다행이도 복구해야 할 MDF는 1 개 , MDF의 사이즈는 5.4GB 였습니다. 지난번 한방병원의 경우 DB가 16개로 나뉘어서 복구가 오래 걸렸습니다.

최종결과 92% 복구되었습니다. 최근 랜섬웨어 중 @ 가 있는 랜섬웨어 복구율이 높았습니다.

​

주기적인 FullBackup 파일을 제공해주면 좋겠지만 대부분의 고객은 백업없이 운영하고 있습니다. MDF만 제공 시 손실된 데이터를 추가로 복구 할 수 없는 구조입니다.

​

주기적인 FullBackup을 제공해 줄 경우 1주전 FullBackup, 2주전 FullBackup, 3주전 FullBackup을 복구하여 빠진 데이터를 합치면 됩니다.

​

[그림3데이터베이스 복구(재건, Reconstruct) 구성도]

​

[그림 4 복구된 테이블 수량 509개]

복구된 테이블의 수량을 파악해봤습니다. 테이블이 509개 였습니다.

이제부터 중요한 테이블이 복구되었는지 확인해봐야 합니다.

중요한 회계관련 테이블의 716,302개 레코드가 살아났습니다.

​

[그림5 데이터가 복구(재건)되어 정상적으로 인식되는 화면]

국내 1위 ERP 회사답게 보안이 적용된 DB구조라 재건(복구)된 DataBase의 직접 적용이 안되었습니다. 제조사와 협력하여 SETUP DB를 제공받았고 거기에 복구된 레코드(데이터)를 넣는 방식으로 진행하였습니다.

​

[그림 6 제조사에서 제공받은 SETUP DB Table 수량]

​

SETUP DB의 테이블 수량은 4796개 였습니다.

여기서 복구된 509개의 테이블을 하나 하나 찾아서 넣어야 합니다.

엄청난 노동력이 필요한 작업이였습니다.

​

​

[그림 7 테이블의 레코드만 입력하는 방식]

ERP 프로그램에서 정상적으로 동작하는 것을 확인하였으며 제조사 엔지니어 및 개발자 모두 복구에 도움을 주셨습니다. 랜섬웨어에 감염된 DB라서 무결성은 보장 못하지만 복구하는 모두가 정합성을 위해 노력해 주셨습니다. 도움주신 모든분들에게 감사드리며 다음에는 더 많이 더 빨리 복구될 수 있을 듯 합니다.

​

​

복구율과 성공 사례

복구 작업이 진행되는 동안 평균 80%의 복구율을 기록하였고, 일부 데이터는 최대 92%까지 복구되는 성과를 거두었습니다. 이러한 높은 복구율은 저희 팀의 전문성과 노력 덕분이었습니다. 고객의 제조 라인이 다시 가동될 수 있도록 하여 큰 효과를 보았습니다.

​

전문가의 역할

KRDC는 랜섬웨어 연구와 복구 솔루션 제공에 전문성을 가지고 있습니다. 저희 팀은 최신 기술과 노하우를 바탕으로 다양한 랜섬웨어 공격에 대응할 수 있는 능력을 갖추고 있습니다. 특히, 데이터 복구를 위해 'Forensic DataBase ReBuild' 서비스를 통해 FullBackup 파일에서 테이블을 추출하여 새로운 MDF 파일을 만드는 과정을 진행합니다.

​

고객의 목소리

고객은 저희의 서비스에 대해 매우 만족하였습니다. "초기에는 절망적이었던 상황이었지만, KRDC의 도움으로 다시 모든 시스템을 정상화할 수 있었습니다."라는 이야기를 들려주셨습니다. 고객의 긍정적인 피드백은 저희에게 큰 힘이 되었습니다.

​

​

랜섬웨어 예방 방법

랜섬웨어의 위협을 뚫고 안전한 데이터를 지키기 위해서는 백업이 중요합니다. 클라우드 백업 서비스와 같은 안정적인 시스템을 구축하는 것이 필수적입니다. 또한, 정기적으로 보안 점검 및 교육을 통해 직원들이 랜섬웨어에 대한 경각심을 유지할 수 있도록 해야 합니다.

​

랜섬웨어 복구 서비스 문의처

KRDC는 국내에서 유일하게 포렌식으로 랜섬웨어 복구를 진행 하고있습니다.

MSSQL. Oracle, 가상화 솔루션, NAS 등 주로 기업의 장비에서 랜섬웨어 감염 시 복구하고 있습니다. 랜섬웨어 이슈가 있으시면 언제든지 연락주세요 빠르게 해결해 드리겠습니다.

​

저희 KRDC는 랜섬웨어 예방 및 복구 서비스를 제공하고 있습니다. 궁금하신 사항이 있으시면 언제든지 아래 연락처로 문의하시기 바랍니다.

상담 번호 : 070-7747-6000

웹사이트: KRDC

​

랜섬웨어로부터 안전한 데이터 보호를 위해 저희와 함께 하세요. 여러분의 소중한 데이터를 지키는 것이 저희의 사명입니다.

​

​

#랜섬웨어 #랜섬웨어복구 #데이터베이스복구 #DB복구 #크립토랜섬웨어 #ERP복구 #즉각복구 #서버복구 #ERP랜섬웨어복구 #랜섬웨어복구방법 #랜섬웨어복구툴 #랜섬웨어복구업체 #MSSQL복구 #MSSQL랜섬웨어복구 #병원랜섬웨어복구 #리커버리데이터 #한국랜섬웨어복구센터 #랜섬웨어침해대응센터 #​systemfail #한방병원랜섬웨어복구 #국내1위ERP랜섬웨어복구 #D사ERP랜섬웨어복구

​