2024년 11월 25일 경북의 한 중소 제조기업이 ERP 서버의 MSSQL 데이터베이스가 랜섬웨어에 감염되어 공장 전체 업무가 중단됐다며 BaileyTech에 긴급 의뢰를 해왔습니다. 고객사는 생산라인을 급히 재가동하기 위해 이미 OS를 새로 설치하고 빈 테이블만으로 MSSQL DB를 구성해 신규 입력만 가능한 상태였으며, 넘길 수 있는 자료는 감염된 BAK 백업 파일과 MDF 파일뿐이었습니다.
BaileyTech는 제공받은 파일을 포렌식으로 분석한 뒤, 암호화된 파일을 복호화하는 방식이 아니라 손상되지 않고 살아남은 테이블과 데이터를 추출해 새로운 MDF로 재건하는 ‘Forensic Database Reconstruct’ 기법을 적용했습니다. 많은 랜섬웨어가 파일 헤더부터 암호화하고 데이터 영역은 서서히 암호화하는 특성에 착안해, 매주 일요일 새벽 수행되던 풀백업(BAK)을 활용했습니다.
최근 3주치 풀백업에서 서로 다른 시점의 정상 테이블을 골라(예: 1주 전 백업에서 1·3·5번 테이블, 2주 전 백업에서 2·4·6번 테이블) 하나의 새 MDF에 복사·재건했습니다. 감염 파일은 헤더가 손실되어 SSMS에서 인식조차 되지 않았으나, BaileyTech는 데이터가 살아 있는 영역을 찾아 작업을 진행했습니다.
MDF 재건에 약 2일이 소요됐고, 재건 데이터를 ERP 업체의 신규 DB에 결합했습니다. ERP 업체 확인 결과 테이블 복구율 99%, 데이터 손실 20% 미만, 프로시저 손실 50% 미만으로, 백업 자체가 감염된 상황에서도 핵심 데이터 대부분을 되살린 사례입니다.
