* 다녔던 회사들과 참여한 프로젝트 중에서 총 3번의 랜섬웨어 공격을 극복하고 방어하였다. 각 회사와 프로젝트마다 문제 해결 방식이 달랐고 경험만큼 성장했다고 생각한다.

****

- 첫번째 랜섬웨어 공격, 대표는 늘 외부에서 바쁘게 움직이는 사람이었고 하루에도 수백 통의 이메일을 처리하는 사람이었으니 랜섬웨어의 표적이 되는 것은 시간문제였고 일은 터졌다. 랜섬웨어 감염 흔적을 조사한 결과, 이메일을 통하여 회사 내부 공유기가 오픈되었고 회사내 모든 PC가 감염되었고 당시에는 감염 사실을 알 수 없었다. 해커는 서버 구조를 확인 가능 했던 것 같다. 정확히 DB에만 랜섬웨어가 발동되었고 암호화 인코딩 되자마자 시스템은 마비되었다.

- 시스템 마비된 날부터 철야 작업이 1주일간 계속 되었다. 랜섬웨어가 늘 그렇듯이 비트코인 지불을 요구하였으나 대표는 지불할 의사가 없었고 개발팀은 시스템을 어떻게든 살려보고자 머리를 싸매고 고민했다.

- 시스템 로그에 주문 기록과 암호화된 주문 정보를 찾아 분석하였고 랜섬웨어에 감염되어 인코딩된 DB 내역을 복구하기로 하였다. 가장 최종으로 오프라인 백업된 DB는 약 4개월 전 것이 있었고 이후 4개월치만 복구하면 된다는 판단이 섰다.

- 수십기가바이트나 되는 로그 파일을 모두 뒤져봐야 했으며 일반 텍스트에디터로는 파일이 열리지도 않았다. 비주얼스튜디오로 텍스트 파일을 열고 주문 하나 하나의 로그 패턴을 찾아서 데이터마이닝을 시작했다.

- 몇 시간 분석 끝에 정규식 패턴 수십 가지가 만들어졌고 주문 정보를 복구하기 시작했다. 테스트 DB에 복구한 주문정보를 복원해보고 정상 처리되는 것을 확인하고 유실된 주문정보를 복구하기 시작했다.

- 정규식 패턴으로 대부분의 주문정보는 확인할 수 있었으나 군데 군데 이가 빠진 부분은 로그 한땀 한땀 시계열 분석하여 복구할 수 밖에 없었다.

- 운영업무는 매일 매일 진행해야 하였기에 오프라인 백업된 DB만 복원한 뒤에 바로 운영 서비스를 가동하였고, 운영 업무가 이루어지는 동안 1주일간 철야작업을 하며 비어 있는 주문 내역을 차근 차근 복구하였다.

- 이 사건 이후로 보안 솔루션 도입과 정품 사용을 입이 닳도록 보고했다. 회사는 보안 솔루션을 도입하였고(이것도 몇 달 걸렸다) 사내에서 사용하는 소프트웨어를 모두 정품으로 정비하기 시작했다. 백업 프로세스를 강화하였고 DB 오프라인 백업을 매일 가동하였다.

- 랜섬웨어에 대비하는 방법은 오직 꾸준하고 성실한 백업 뿐이다. 회사는 백업에 따로 예산을 주지 않아 개발PC와 NAS서버, 클라우드 스토리지에 손수 백업하면서 운영하였다.

- 회사는 랜섬웨어를 복구한 개발팀의 노고에 대해 감사의 말대신 방비에 대한 질책만 있었다. 당시에는 서운하였으나 지나고 보면 엔지니어로서 뿌듯한 마음은 남는다.

=== 연재 ===

[랜섬웨어극복기] ① 시스템이 랜섬웨어에 걸렸다? 우리 회사 다시 살아날 수 있을까?

[랜섬웨어극복기] ② 경험이 나를 살린다. 매출 500억 짜리 글로벌 이커머스 플랫폼, 랜섬웨어 감염 후 하루 만에 정상 운영(복구에 4시간 소요는 안비밀)

[랜섬웨어극복기] ③ 대세는 이미 클라우드지만 유행 아닌 필수일 수 밖에 없는 경험담. (랜섬웨어로 터진 시스템 40분만에 복구)