차단만으로는 부족하다: 기업형 랜섬웨어 시대, 백업이라는 두 번째 카드

랜섬웨어는 더 이상 개인 해커의 일탈적 범죄가 아니다. 초기에는 몇몇 개인이 암호화 기술을 이용해 소규모 기업이나 개인을 공격하고 금전을 요구하는 정도에 불과했지만, 이들이 실제로 큰 수익을 올리자 시장은 빠르게 진화했다. 성공 사례는 또 다른 범죄자들에게 모방의 동기를 제공했고, 이 과정에서 랜섬웨어는 점차 산업화되었다. 지금은 다크웹을 기반으로 랜섬웨어를 임대하거나 판매하는 Ransomware as a Service(RaaS) 모델이 자리 잡으며, 누구나 쉽게 범죄에 가담할 수 있는 구조가 만들어졌다. 공격자들은 개인에서 기업형 조직으로 성장했고, 범죄 생태계는 합법적 스타트업과 다를 바 없는 사업 모델을 갖추었다.

여기에는 인간 심리의 기본적 경향이 자리한다. 사람은 본능적으로 최소의 노력으로 최대의 이익을 얻고자 한다. 심리학에서는 이를 쾌락 원칙(pleasure principle) 혹은 인지적 구두쇠(cognitive miser)라 부른다. 개인 해커가 단 한 번의 공격으로 거액을 얻는 사례가 생기자 이는 강력한 조작적 조건형성(operant conditioning)의 보상 효과를 만들어냈다. 쉽게 얻은 성공이 곧 행동을 강화하고, 더 많은 모방자를 불러온 것이다.

비슷한 현상은 해양에서도 나타났다. 2000년대 후반 아덴만 해역에서 발생한 소말리아 해적 사건은, 국가 기능이 붕괴된 환경에서 선박을 납치하고 몸값을 요구하는 방식이 극히 짧은 기간에 돈을 벌 수 있는 수단이 되면서 급격히 확산된 사례다. 해적들은 소규모 집단에서 출발했지만, 선박 한 척을 납치해 수백만 달러를 받아내는 성공 사례가 나오자 이 역시 산업화되었다. 그러나 국제 사회가 해군을 파견해 단호하게 대응하고, 선박들이 무장 경비를 두며 보안 수준을 높이자 해적 활동은 급감했다. 이는 쉽게 돈을 벌 수 있는 길을 차단하고, 동시에 대응력을 강화할 때 불법의 산업화는 근절될 수 있다는 교훈을 준다.

랜섬웨어 역시 동일한 구조다. 공격자가 기업의 데이터를 인질로 삼을 때, 백업이 없는 기업은 선택지가 없다. 무력감과 절망이 조직을 지배하고, 경영진은 ‘즉시 정상화’라는 압박에 굴복할 수밖에 없다. 이때 공격자는 통제감을 극대화하며 범죄적 효능감을 강화한다. 그러나 백업이 준비된 기업은 완전히 다른 길을 선택할 수 있다. “우리는 복구할 수 있다”는 확신은 심리적 안전망이 되어 조직에 회복 탄력성을 부여하고, 협상에서 주도권을 되찾게 한다. 공격자는 좌절하고 ROI가 떨어지며, 범죄의 지속 가능성 자체가 약화된다.

실제로 2025년 영국 Databarracks 조사에 따르면, 백업을 보유한 기업들의 랜섬 지불률은 사상 최저인 17%로 떨어졌다. 에어갭과 불변 백업을 보유한 기업은 오히려 공격 이후 더 강한 신뢰를 확보했다. 노르웨이 Norsk Hydro는 공격을 받은 뒤 몸값을 내지 않고 자력 복구에 성공했으며, 이 과정에서 투명성과 회복 전략으로 시장의 존경을 얻었다.

랜섬웨어 방어는 단순히 기술의 문제가 아니라 심리적 전쟁이기도 하다. 막는 데 실패했을 때 선택지가 없는 조직은 범죄자에게 종속되지만, 백업이라는 두 번째 카드를 가진 조직은 공격자의 사업 모델을 흔들 수 있다. 이는 아덴만에서의 국제 사회 대응처럼, 단호한 대비책이 있을 때만 불법 산업화의 확산을 멈출 수 있음을 보여준다.

따라서 CEO와 CFO, CTO가 지금 던져야 할 질문은 명확하다. 우리 기업은 방어 카드 하나만 쥐고 있는가, 아니면 또 다른 카드까지 준비했는가. 사이버 보안은 이제 단순 차단의 문제가 아니라, 예방과 회복이라는 이중 카드 전략을 갖추어야 하는 시대다. 보안은 막는 데서 끝나지 않고, 백업은 회복을 담보하는 또 하나의 전략적 무기다. 이 두 가지를 통합적으로 운영할 수 있는 기업만이 기업형 랜섬웨어의 시대를 버텨내며, 오히려 회복 탄력성을 기반으로 시장 신뢰를 강화할 수 있을 것이다.