네트워크 · 보안

사이버 사기·랜섬웨어 막는 법 — 개인·소상공인 2026

"우리는 작으니까 노려질 일 없겠지" — 2026년 가장 위험한 착각입니다. 비싼 장비 말고, 순서대로 먼저 할 것부터.

2026년 5월 12일 기준 · 약 8분

단단히 잠긴 자물쇠와 겹쳐진 방패가 노트북 옆 책상에 놓인 일러스트 — 개인·소상공인 보안 방어를 상징

다크웹에서 유출된 DB가 거래되고, 진짜 거래처가 보낸 것처럼 정교한 메일이 송금을 요구하고, IT 유지보수 업체 한 곳이 뚫리면 거기 연결된 중소기업들이 줄줄이 랜섬웨어에 걸립니다. 2026년의 보안 위협은 "남의 이야기"가 아니라 일상적인 사업 운영 비용이 됐어요.

문제는, 막을 방법이 비싸거나 어렵지 않다는 데 있습니다. 효과가 큰 것일수록 거의 무료고 30분이면 됩니다. 안 하는 게 문제일 뿐. 이 글은 개인·1인 사업자·소상공인이 우선순위 순서대로 무엇부터 해야 하는지 — 다단계 인증, 이메일·송금 사기 거르기, 랜섬웨어 대비(=백업) — 2026년 5월 기준 공개 자료를 근거로 정리합니다.

먼저 — "작아서 안전하다"가 가장 위험하다

공격자는 더 이상 사람을 골라 노리지 않습니다. AI로 자동화해서 닥치는 대로, 작은 곳까지 훑어요. 작은 곳이 오히려 보안이 허술해서 효율이 좋거든요. "우리는 작으니까 괜찮겠지" 라고 방심한 곳, 초기 보안 투자를 미룬 곳이 1순위 타깃입니다.

숫자로: 미국 공공·민간 연구기관 PPSI 의뢰 조사(중소기업 사업주 500여 명, 모닝 컨설트 수행)에서 — 지난 한 해 중소기업의 약 72%가 사기·스캠·랜섬웨어 등 사이버 범죄를 겪었고, 피해 규모는 연 최소 1,310억 달러로 집계. 응답 기업의 71%는 AI 발전이 사기를 더 키울 것으로 봤고, 이미 피해를 본 기업의 76%는 공격에 AI가 쓰였다고 판단. 결제 사기 평균 손실 약 6만 달러, 이메일 침해(BEC) 평균 9만 달러 이상.

국내도 마찬가지입니다. 경찰청은 중소기업을 집중 타격한 '미드나잇' 랜섬웨어 경보를 냈는데, 수법이 IT 유지보수 업체에 피싱 메일을 보내 먼저 침투한 뒤 그 업체가 관리하던 고객사로 번지는 식이었어요. 내가 직접 안 당해도, 거래하는 업체를 통해 들어옵니다.

1순위 방어 — 다단계 인증(MFA), 비밀번호보다 먼저

유출된 비밀번호가 다크웹에 깔린 시대에, "강한 비밀번호"는 더 이상 1순위가 아닙니다. 다단계 인증(MFA)이 먼저예요. 비밀번호가 털려도 두 번째 관문이 막아주거든요. MFA·사이버 보험·정기 보안 점검 — 이 셋이 가장 효과적인 보호 수단으로 꼽히는데, 도입률은 아직 한참 모자랍니다.

MFA 방식	강도	메모
SMS 문자 코드	약	없는 것보단 훨씬 낫지만 'SIM 스와핑'에 뚫릴 수 있음. 다른 방식이 가능하면 그쪽으로.
OTP 인증 앱 (구글·MS 인증기 등)	중상	대부분의 사람에게 정답. 무료, 30초면 설정. 이걸로 시작.
하드웨어 보안키 (패스키 포함)	강	피싱에 가장 강함. 관리자 계정·중요 계정엔 이걸 권장.
생체(지문·얼굴)	중상	편하고 무난. 기기 분실 대비 백업 수단을 같이 둘 것.

어디에 켤까: 이메일 계정(여기가 뚫리면 다른 계정 비번 재설정도 다 뚫림 — 최우선), 결제·은행, 클라우드 스토리지, 도메인·호스팅 관리자, 업무용 메신저·협업툴, SNS 비즈니스 계정. 직원이 있으면 "권고"가 아니라 "필수"로 정책화하세요.

이메일·송금 사기(BEC) — AI가 만든 '진짜 같은' 메일

가장 돈이 크게 새는 곳입니다. 공격자는 AI로 실제 거래처의 문체와 똑같은 메일을 만들어 "계좌가 바뀌었으니 이쪽으로 입금해 달라" 같은 요청을 보냅니다. 오타 가득한 옛날 피싱이 아니에요. 거를 신호:

'계좌 변경'·'급한 송금' 키워드 — 평소와 다른 계좌로, 평소보다 급하게 요구하면 일단 의심.
발신 주소 한 글자 차이 — company.com vs cornpany.com 처럼 비슷하게 위장. 표시 이름 말고 실제 주소를 보세요.
회신 주소가 다름 — 보낸 사람과 답장 주소가 미묘하게 어긋남.
링크·첨부 클릭 유도 — 마우스를 올려 실제 URL 먼저 확인. 의심되면 안 누름.
"이 메일로만 처리" — 전화·다른 채널로 확인하지 말라는 압박은 거의 사기.

한 가지 습관이면 대부분 막힌다: 송금·계좌 변경 요청은 메일이 아닌 다른 경로(평소 알던 전화번호)로 한 번 더 확인하고 나서 처리. 이 "콜백 검증" 규칙 하나가 BEC 평균 손실 9만 달러를 막는 가장 싼 보험이다. 직원에게도 "급하다고 재촉받아도 콜백 전에는 송금 금지"를 명시할 것.

랜섬웨어 — 결국 '백업'이 보험이다

랜섬웨어는 막는 것도 중요하지만, 핵심은 걸려도 복구할 수 있느냐입니다. 백신·EDR(엔드포인트 탐지·대응)은 기본으로 두되, 이들은 본질적으로 '탐지 후 대응'이라 데이터를 암호화·삭제하는 신형 랜섬웨어를 완벽히 막진 못해요. 그래서 백업이 마지막 보루입니다.

3-2-1 규칙 — 사본 3개, 서로 다른 매체 2종, 그 중 1개는 네트워크와 끊긴(오프라인) 곳에. 랜섬웨어는 연결된 백업까지 같이 암호화하니까 오프라인 사본이 핵심.
복구를 실제로 해보기 — "백업했다"와 "복구된다"는 다릅니다. 분기에 한 번 시험 복구.
의심 첨부·매크로 — 모르는 첨부의 매크로 활성화 금지. 메일로 온 압축파일·문서는 발신자 콜백 확인 후에만.
OS·소프트웨어 업데이트 — 알려진 취약점으로 들어오는 게 흔합니다. 자동 업데이트 켜두기.

걸렸을 때. ① 감염 의심 기기는 즉시 네트워크에서 분리(번지는 걸 막음). ② 몸값 지불은 권장되지 않음 — 복구 보장도 없고 다음 표적이 됨. ③ 한국이라면 KISA 보호나라·경찰청 사이버범죄 신고로 침해사고 신고·지원 요청. ④ 사후가 아니라 사전 — 어제의 오프라인 백업이 있으면 협박이 협박이 안 됩니다.

그래서 무엇부터 — 오늘 30분, 그리고 분기 점검

오늘 30분 체크리스트

이메일 계정에 MFA(OTP 앱) 켜기 — 가장 중요. 다음으로 은행·클라우드·도메인 관리자.
중요 데이터 백업 상태 확인 + 오프라인 사본 1개 만들기.
"송금·계좌 변경 = 콜백 검증 후" 규칙을 본인/직원에게 공지.
OS·브라우저·업무 프로그램 자동 업데이트 켜기.
관리자 계정 비밀번호 재사용 여부 점검 — 재사용 중이면 바로 교체 + 하드웨어 키/패스키 검토.

분기마다: 시험 복구 1회, 안 쓰는 계정·권한 정리, 거래처의 보안 사고 소식 체크(공급망으로 번지니까). 규모가 좀 되면 사이버 보험과 외부 보안 점검도 검토하세요 — 위 PPSI 조사에서도 효과적 수단으로 꼽혔지만 도입은 아직 적습니다.

마지막으로 한 줄. 보안 강화와 "보안을 핑계로 한 과도한 감시"는 다릅니다 — 개인 정보·자산 흐름을 실시간으로 들여다보겠다는 명분에는 시민으로서 따로 견제가 필요해요. 다만 그건 정책 차원의 이야기고, 지금 당신 계정·데이터를 지키는 일은 위 30분짜리 목록부터입니다. 어느 칸이 아직 비어 있나요?

참고: 침해사고 신고·보안 자료는 KISA 보호나라(과학기술정보통신부·KISA) 등을 확인하세요. 본문 통계는 2026년 5월 기준 공개 조사 자료이며 수치는 출처별로 차이가 있을 수 있습니다.

네트워크·보안 이야기, 계속 정리합니다

JUNAI 블로그는 보안·네트워크·AI 도구·자동화 소식을 검색량 큰 주제 위주로 꾸준히 올립니다. junai.ai/blog에서 이어 보세요.