중소기업 랜섬웨어 피해액은 평균 $140,000(약 2억 원)에 달한다.[1] 이 피해의 대부분은 세 가지 실패로 거슬러 올라간다: 패치하지 않은 시스템, 모르고 있던 노출 자산, 분리되지 않은 백업. 정교한 공격자가 필요하지 않았다. 예산이 많아야 막을 수 있는 것도 아니다.
세 가지 실천법이 이 세 가지를 모두 해결한다. 구축 비용은 0원이다. 자리를 잡으면 분기당 두 시간이면 충분하다.
1. 패치를 자동화하라
랜섬웨어 침해의 32%가 미패치 시스템에서 시작된다.[2] 원인은 대부분 무관심이 아니다. 수동 패치는 누군가가 기억해야 하는데, 중소기업에서는 그 책임이 명확히 없는 경우가 많다.
CVE-2025-33073이 최근 사례다. 이 윈도우 취약점은 공격자가 네트워크 내 미패치 호스트에서 SYSTEM 권한을 획득할 수 있게 한다. 마이크로소프트는 2025년 6월 패치를 배포했고, CISA는 이를 알려진 악용 취약점(KEV) 목록에 추가했다. 자동 업데이트가 켜진 기업은 문제가 생기기 전에 취약점을 닫았다. IT 담당자를 기다리던 기업은 그렇지 못했다.
실천: 모든 기기와 서버에 자동 업데이트를 켜라. 규칙 하나를 문서로 남겨라: 심각한 CVE는 15일 이내에 패치한다.
2. 시스템을 문서화하라
모르는 것은 보호할 수 없다. 서브도메인, 벤더 연동, 스테이징 서버, 잊힌 VPN 엔드포인트 — 이것들은 수년간의 일상적인 업무 속에서 조용히 쌓인다. 그 어느 것이나 침입 경로가 될 수 있다.
문서화란 기술 명세서가 아니다. 이 기업이 어떤 시스템을 운영하는지, 각각에 누가 접근하는지, 무엇과 연결되어 있는지 파악하는 것이다. 변경이 있을 때마다 업데이트되는 한 장짜리 문서면 충분하다. 목표는 하나다: 개발자가 아닌 누구든 30분 이내에 그 질문들에 답할 수 있어야 한다.
실천: 인터넷에 노출된 시스템 목록을 만들어라. 30분 이상 걸린다면, 그 공백 자체가 위험이다.
3. 분기별로 점검하라
KISA 2025년 상반기 보고서에 따르면 국내 랜섬웨어 피해 기업의 44.4%가 백업도 함께 암호화됐다.[3] 거의 모든 경우에 백업이 네트워크에 연결되어 있었다 — 이미 주 시스템을 침해한 랜섬웨어가 백업에도 닿을 수 있었다. 아무도 확인하지 않았다.
분기별 점검은 감사가 아니다. 한 시간 동안 이 질문들을 하는 것이다: 이번 분기에 새로운 시스템이나 벤더가 추가됐는가? 연결되어서는 안 되는 것이 연결되어 있는가? 백업은 실제로 복구되는가?
실천: 분기마다 한 시간을 확보하라. 지난 90일간의 변경사항을 검토하고, 그 중 무언가가 새로운 취약점을 열었는지 확인하라.
훈련이 예산보다 강하다
이 세 가지 실천법은 비용이 없다. 자리를 잡으면 연간 몇 시간이면 충분하다. 보안이 잘 된 기업과 노출된 기업의 차이는 예산이 아니다. 거의 항상, 이 세 가지 훈련 중 하나가 빠져 있다.
세 가지 중 아직 갖추지 못한 것이 무엇인가요? 댓글로 알려주시면 실천 방법을 함께 찾아드리겠습니다.
참고
- NinjaOne — 중소기업 사이버보안 통계 2026
- Upfort — 중소기업 취약점 노출 보고서 2025
- KISA — 2025 상반기 사이버 위협 동향 보고서
Instagram