2024년 6월 11일, 웹서버와 DB 서버의 모든 파일이 크립토(파일 단위 암호화) 랜섬웨어로 암호화되어 데이터가 손실된 고객사가 BaileyTech에 상담을 의뢰했습니다. 고객사는 이미 해커와 협상해 비트코인을 지불했으나 해커가 복호화키를 주지 않고 추가 금액을 요구하는 먹튀 피해를 당해 며칠째 모든 서비스가 중단된 절박한 상황이었습니다. 서버가 IDC에 있어 장비 출고가 불가능했고, 장기간 재부팅을 하지 않아 재기동 자체가 불확실했습니다.
6월 14일 저녁 IDC에 도착한 BaileyTech 엔지니어팀은 DB·백업 파일·외장 HDD 백업까지 모두 감염되고 재부팅 불가로 이미지 백업도 어려운 상황을 확인했습니다. 엔지니어의 외장 HDD를 연결하자 즉시 감염되는 일까지 벌어졌으며, 해당 랜섬웨어가 svchost로 위장해 20개 이상의 프로세스로 동작 중임을 파악했습니다.
랜섬웨어 프로세스를 종료한 뒤 원격 접속해 FTK Imager로 RAID 구성 물리 디스크 2개(총 500GB)의 이미지 백업을 약 5시간에 걸쳐 새벽 4시경 완료했습니다. 이후 복구 프로그램으로 삭제된 .bak 파일을 복원했으나 MSSQL 적용 마지막 단계에서 인식 오류가 반복되며 복구 가능성이 25% 미만으로 떨어졌습니다.
BaileyTech는 포기하지 않고 디지털 포렌식 기법으로 .bak 백업 파일을 다시 탐색·복원했고, 마침내 MSSQL 인식에 성공했습니다. 복구 착수 약 12시간 만에 핵심 백업 파일 복원에 성공했으며, 고객사는 자체 테스트에서 백업 파일 인식이 정상 확인되어 손실 데이터를 되찾았습니다.
