티스토리 뷰
랜섬웨어는 이제 “기업만 당하는 사고”가 아닙니다. 개인도 충분히 표적이 됩니다. 이유는 간단합니다. 공격자는 특정 사람을 노려야만 돈을 버는 게 아니라, 자동화된 방식으로 많은 기기를 감염시키고 그중 일부만 몸값을 내도 수익이 남는 구조로 움직이기 때문입니다. 게다가 요즘 랜섬웨어는 단순히 파일을 암호화하는 데서 멈추지 않고, 브라우저 세션과 클라우드 동기화 폴더까지 건드리며 피해를 확장시키는 경우가 많습니다. “클라우드에 있으니 안전하다”는 믿음도 때때로 착각이 됩니다. 동기화가 켜져 있으면, 감염된 PC에서 암호화된 파일이 클라우드로 그대로 올라가 다른 기기까지 영향을 줄 수 있기 때문입니다. 그래서 랜섬웨어 대응에서 가장 현실적인 해답은 ‘완벽 방어’가 아니라 복구 가능성을 만드는 것입니다. 그 핵심이 바로 백업 3-2-1 규칙입니다. 3개의 사본을 2개의 다른 매체에 나눠 저장하고, 1개는 오프라인(또는 물리적으로 분리된 곳)에 둔다는 원칙이죠. 이 규칙은 대기업만 하는 게 아닙니다. 개인도 충분히 “작게, 꾸준히” 실천할 수 있습니다. 이 글에서는 3-2-1을 개인 환경(노트북+외장하드+클라우드) 기준으로 현실적으로 구현하는 방법, 백업이 백업답게 작동하게 만드는 점검 루틴, 그리고 랜섬웨어가 실제로 터졌을 때 피해를 최소화하는 행동 순서까지 정리합니다.
서론: 랜섬웨어는 ‘막는 게임’이 아니라 ‘복구 게임’이다
보안에서 “막는다”는 접근은 중요하지만, 랜섬웨어는 현실적으로 100% 차단을 장담하기 어렵습니다. 피싱 링크, 악성 첨부파일, 취약한 프로그램, 확장 프로그램, 광고 주입, 외부 USB… 경로가 너무 많습니다. 그래서 전문가들이 강조하는 것은 결국 “복구 전략”입니다. 랜섬웨어의 목적은 파일을 인질로 잡아 돈을 받는 것입니다. 그러니 내가 돈을 낼 필요가 없도록, 즉 암호화되어도 되돌릴 수 있도록 만들어 두면 공격은 힘을 잃습니다. 여기서 많은 사람이 클라우드를 백업이라고 착각합니다. 클라우드는 동기화(sync)일 때가 많고, 진짜 백업(backup)은 “이전 시점으로 되돌릴 수 있는 별도 사본”을 의미합니다. 동기화는 편리하지만, 감염 시 피해도 같이 동기화될 수 있습니다. 그래서 3-2-1 규칙은 ‘동기화’가 아니라 ‘복구 가능성’을 만드는 구조를 요구합니다.
본론: 3-2-1 규칙을 개인 환경에 적용하는 가장 현실적인 방법
1) 3-2-1 규칙을 한 줄로 이해하기
- 3: 내 데이터는 최소 3개(원본 + 백업 2개)로 존재해야 한다.
- 2: 백업은 서로 다른 매체(예: 내장 SSD + 외장하드, 또는 외장하드 + NAS 등)로 나눠야 한다.
- 1: 그중 1개는 오프라인(분리) 또는 물리적으로 떨어진 곳에 둔다(랜섬웨어가 닿지 않게).
핵심은 “한 번 감염되면 한 번에 같이 죽는 구조”를 피하는 것입니다.
2) 개인이 가장 쉽게 만드는 3-2-1 조합(추천 3가지)
조합 A: 노트북(원본) + 외장하드(로컬 백업) + 클라우드(오프사이트)
- 장점: 접근성과 비용 균형이 좋고, 대부분의 사람에게 현실적
- 포인트: 외장하드는 상시 연결이 아니라 백업 때만 연결해야 “1(오프라인)”이 성립합니다.
조합 B: 노트북 + 외장하드 2개(교대 운용) + 클라우드(선택)
- 장점: 오프라인 백업 강도가 높음(외장하드를 번갈아 연결)
- 포인트: 외장하드 2개 중 1개는 집 밖(회사/가족 집/금고)에 보관하면 ‘오프사이트’ 효과도 커집니다.
조합 C: 노트북 + NAS(스냅샷/버전) + 외장하드(오프라인)
- 장점: 가족/다기기 환경에서 효율적, 버전/스냅샷으로 복구력이 높아질 수 있음
- 포인트: 포인트: NAS도 네트워크에 붙어 있으면 랜섬웨어 영향권에 들어갈 수 있어, 스냅샷/권한/격리가 관건입니다.
3) “오프라인 백업”이 왜 핵심인가(상시 연결 외장하드는 위험)
많은 사람이 외장하드를 꽂아둔 채로 “백업해둔다”고 생각합니다. 하지만 랜섬웨어 입장에서는 외장하드도 ‘내 PC에 연결된 또 하나의 드라이브’일 뿐입니다. 감염되면 같이 암호화될 수 있습니다. 그래서 3-2-1의 ‘1’은 단순한 숫자가 아니라 철학입니다. 백업은 연결되어 있지 않아야 한다.
실전 팁은 간단합니다. “백업 → 연결 해제 → 보관”을 루틴으로 만들면 됩니다.
4) 백업 대상 우선순위: “전부”가 아니라 “핵심부터”
개인에게 백업이 어려운 이유는 “데이터가 너무 많아서”입니다. 그래서 우선순위로 접근하세요.
- 1순위: 가족 사진/영상, 중요한 문서(계약서·증명서·포트폴리오), 개인 작업물(원본 파일)
- 2순위: 프로젝트 폴더, 업무 산출물(개인 보관분), 설정/템플릿
- 3순위: 다운로드 폴더, 캐시성 파일(재다운로드 가능)
모든 걸 완벽히 백업하려다 실패하기보다, “복구가 불가능한 것”부터 확실히 잡는 게 현실적으로 강합니다.
5) 클라우드는 백업이 될 수도, 독이 될 수도 있다(운영 원칙)
클라우드는 ‘버전 관리/이전 버전 복구’ 기능이 있으면 백업으로서 가치가 커집니다. 반면 단순 동기화만 믿으면 위험할 수 있습니다.
- 가능하면 버전 기록/휴지통/복구 기능을 확인해두세요(평소에 한 번 테스트까지).
- 랜섬웨어 의심 상황에서는 클라우드 동기화를 즉시 중지하는 게 피해 확산을 줄이는 데 도움이 됩니다.
클라우드는 “자동으로 안전해지는 장치”가 아니라 “설정과 습관으로 백업이 되게 만드는 도구”입니다.
6) 백업이 진짜 작동하는지 확인하는 ‘월 1회 5분’ 점검
백업의 가장 큰 함정은 “되어 있다고 믿는 것”입니다. 그래서 점검은 필수입니다.
- 외장하드 백업: 최근 백업 날짜 확인 + 랜덤 파일 1~2개 열어보기(복구 가능 확인)
- 클라우드: 파일 버전/휴지통에서 복원 테스트(작은 파일로 1회)
- 저장 공간: 백업이 실패하지 않도록 용량 여유 점검
이 정도만 해도 “막상 필요할 때 백업이 없다”는 최악의 상황을 피할 확률이 크게 올라갑니다.
7) 랜섬웨어가 의심될 때 즉시 행동(피해를 ‘작게’ 만드는 순서)
1) 네트워크 끊기(Wi-Fi/이더넷) — 확산/동기화 차단
2) 외장하드/NAS 연결 해제 — 백업까지 감염되는 걸 막기
3) 클라우드 동기화 중지 — 암호화 파일이 올라가는 것 방지
4) 상황 기록(어떤 파일이 바뀌었는지, 메시지/확장자 등) — 복구/대응에 도움
5) 복구 계획: 백업에서 복원 가능한지 판단 후, 필요 시 초기화/재설치 고려
핵심은 “백업을 지키는 행동”이 먼저라는 점입니다.
결론: 3-2-1은 ‘장비’가 아니라 ‘습관’으로 완성된다
랜섬웨어는 언제든 누구에게나 올 수 있습니다. 하지만 결과는 똑같지 않습니다. 백업이 있으면 “귀찮은 복구 작업”으로 끝나고, 백업이 없으면 “돈을 내야 하나, 사진을 포기해야 하나”라는 절망으로 이어집니다. 3-2-1 규칙은 그 갈림길을 바꾸는 가장 현실적인 방법입니다. 원본 포함 3개 사본, 서로 다른 매체 2개, 그중 1개는 분리(오프라인/오프사이트). 이 원칙은 거창하지 않아도 됩니다. 외장하드를 ‘백업할 때만 연결’하는 습관 하나만으로도 보안 강도는 확 달라집니다. 다음 글(48번)에서는 USB·외장하드 사용 습관으로 감염 줄이기를 이어서 다룹니다. 파일 사고의 출발점이 USB/외장 매체인 경우도 많기 때문에, “안전하게 연결하고, 안전하게 제거하고, 안전하게 공유하는” 생활 규칙을 정리해드리겠습니다.