기업용 NAS는 중소기업의 핵심 데이터를 보관하는 장비지만, 랜섬웨어의 표적이 되는 사례가 늘고 있습니다. 다행히 NAS의 파일시스템·RAID 구성 특성상 감염 후에도 복구 가능성이 남아 있는 경우가 많습니다.
복구 접근은 크게 두 가지입니다. ① 상용 복구 소프트웨어(EaseUS·RecoverIT 등)를 이용하는 방법은 비교적 간단하지만 성공률이 40%대에 머무는 경우가 많고, ② 디스크를 포렌식 이미징해 분석하는 방법은 성공률이 60% 이상으로 더 높습니다.
어떤 방법이든 가장 중요한 것은 초기 대응입니다. 감염을 인지하면 NAS의 전원을 빠르게 차단해 추가 암호화·덮어쓰기를 막아야 복구율이 크게 올라갑니다.
이 가이드의 사례 환경은 Synology NAS, 8TB 디스크 RAID 5, BTRFS 파일시스템입니다. BaileyTech는 디스크를 분리해 FTK Imager로 포렌식 이미지를 확보하고, 가상 RAID(Virtual RAID)를 재구성한 뒤 BTRFS 구조와 잔존 데이터 블록을 분석해 파일을 복원합니다.
BTRFS는 Copy-on-Write 구조라 암호화 이전의 데이터 블록이 남아 있을 수 있어, 포렌식 분석으로 상당량을 복구할 수 있습니다. 아래 자료에서 단계별 복구 화면을 확인하실 수 있습니다.
