[아이티데일리] 랜섬웨어 공격은 거의 매주 신문 헤드라인을 장식하고 있다. 피해가 그만큼 크다는 얘기다. 세계적인 기술회사인 콴타(Quanta), 후지필름(Fujifilm) 및 에이서(Acer) 등이 랜섬웨어 영향을 받았다는 것만 봐도 잘 알 수 있다. 국내에서는 2020년 11월 ‘Clop’이라는 해킹그룹으로부터 이랜드 그룹이 랜섬웨어 공격을 받아 이랜드 고객의 카드 정보 10만건이 유출됐다.

대기업만이 랜섬웨어 공격대상이 되는 것은 아니다. 의료, 학교, 지방 자치 단체, 제조 분야를 비롯해 기업 규모의 크기와 상관없이 모든 분야 모든 기업이 랜섬웨어 공격의 표적이 되고 있다.

랜섬웨어 공격으로 인한 손실 비용 또한 해가 갈수록 기하급수적으로 늘어나고 있다. 사이버보안 조사기관인, 사이버시큐리티 벤처스(Cybersecutiry Ventures)의 최근 조사에 의하면 2021년에는 랜섬웨어로 인한 피해액이 200억 달러를 넘어설 것으로 보인다. 이는 2015년에 비해 57배나 증가한 것이다.

◆ 랜섬웨어 위협에 대하여 알아야 할 10가지

기업과 기관의 CSO와 CISO는 현재 랜섬웨어를 비즈니스가 직면한 가장 중요한 사이버 위험으로 간주하고 있다. IT 팀은 물론 각 기업들이 전사적으로 랜섬웨어 대응에 나서고 있는 이유이다.

랜섬웨어 위협에 대해 알아야 할 10가지 사항은 다음과 같다.

1. 서비스로 존재하는 랜섬웨어

과거와 달리 지금은 랜섬웨어에 대한 기술을 보유하는 것이 랜섬웨어 공격자의 필수 조건이 아니다. 사이버 범죄자가들은 이제 해커그룹에서 기성품 랜섬웨어 코드를 ‘대여’해 피싱 이메일, 손상된 자격 증명 또는 네트워크 취약성을 통해 코드를 배포할 수 있다.

2. 사이버 보안은 기업규모와 무관하게 중요하다

랜섬웨어 공격은 기업의 규모와 상관없이 이루어지고 있다. 중소기업(SMB)도 엔터프라이즈 기업과 동일한 수준의 위험에 노출되어 있다는 것이다. 액센추어(Accenture)와 포네몬 연구소(Ponemon Institute)의 조사에 따르면 사이버 공격의 43%가 SMB를 대상으로 하는 것으로 나타났다. 놀란만한 사실은 응답자의 14%만이 자신의 기업이 사이버공격으로부터 방어할 준비가 되어 있다고 얘기한 것이다.

3. 랜섬웨어는 새로운 것이 아니다

1989년 에디 윌렘스(Eddy Willems)는 미심쩍은 플로피 디스크를 자신의 컴퓨터에 삽입했고 이것이 첫 번째 랜섬웨어 배포 사례로 기록되고 있다. 최초 사례 이후 30여 년 동안 랜섬웨어 공격은 사소한 불편함에서 세계에서 가장 강력한 기업 및 정부 기관의 시스템 운영을 방해하는 치명적인 사건으로 진화하고 있다.

4. 사람에 의한 실수가 사이버 보안 위협 1위이다

보안 업데이트를 건너뛰고 암호를 공유하는 것에서 부터 피싱 사기에 빠지고 잘못된 링크를 클릭하는 것에 이르기까지 사람의 행위가 비즈니스의 가장 큰 취약점이다. 아무리 기술이 뛰어나다해도 직원이 무의식적으로 자격 증명이나 계정 정보를 악의적인 행위자와 공유함으로써 발생하는 침해는 막을 수 없다.

5. 기존 3-2-1 백업 전략은 더 이상 충분하지 않다

최근까지 대부분의 IT 조직은 백업과 관련, 3-2-1 전략을 기반으로 시스템을 구축해 왔다. 즉, 두 개의 서로 다른 미디어에 3개의 데이터 복사본을 만들고 한 개의 복사본은 오프사이트(클라우드에 저장하는 것이 최근 주요 트렌드임)에 저장했다.

이러한 데이터 보호 전략은 새로운 랜섬웨어 변종이 백업 파일을 표적으로 삼고 복구 노력을 무용지물로 만들기 위해 암호화하기 시작할 때까지는 효과적인 것으로 입증됐다. 그러나 오늘날 많은 IT 팀은 현재 3-2-1-1 백업 전략으로 알려진 공식에 불변(Immutable) 온라인 스토리지 또는 에어갭(Air-gapped) 오프라인 복사본을 추가하고 있다.

6. 몸값을 지불한다고 해서 데이터 안전을 보장활 수 없다

랜섬웨어 공격으로 심각한 피해를 경험한 후 코로니얼 파이프라인(Colonial Pipeline)은 공격자가 요구한 몸값을 지불한 반면 후지필름(Fujifilm)은 지불하지 않았다. 그러나 두 회사 모두 똑 같이 백업 파일로부터 데이터를 복원해야 했다. 보안 전문가들은 해커의 요구에 절대 응하지 말라고 경고한다. 몸값을 지불하는 것은 추가 공격을 조장하며 복호화 키를 얻는다는 확실한 보장도 없다고 주장한다.

7. 전체적인 랜섬웨어 예방은 필수

1차원적이고 단편적인 사이버 보안으로는 지금과 같이 끊임없이 진화하는 사이버 위협에 더 이상 대응할 수 없다. 보호해야 할 데이터와 불법적으로 접근하려는 사람들 사이에 효과적인 장벽을 만들기 위해서는 보다 체계적이고 전체적인 접근 방식이 필요하다. 랜섬웨어 및 기타 사이버 공격을 방지하려는 기업은 사이버 보안, 백업 및 재해 복구를 위한 프로세스, 정책 및 모범 사례를 포함하는 다계층 전략을 수립해야 한다.

또한 직원은 사이버 공격에 대한 첫 번째 방어선이 되도록 적절한 보안 교육을 받아야 한다.

8. 랜섬웨어 공격자는 플레이북에 삼중 갈취하는 사례를 추가하고 있다

이중 갈취 랜섬웨어 공격이 주류를 이루었을 때 기업은 데이터가 암호화되어 몸값을 위해 보관되는 것 외에, 기업 또는 고객 데이터가 유출될 것을 우려했다.

그러나 최근에는 랜섬웨어 공격자들은 공격을 받는 회사와 회사의 고객 모두에게 몸값을 요구하는 삼중 갈취 전술을 구사하고 있다. 이와 관련한 한가지 유명한 예로 애플(Apple)의 스프링 로드(Spring Loaded) 이벤트 직전에 맥북(Macbook) 회로도를 온라인에 게시한 퀀타(Quanta) 랜섬웨어 공격을 들 수 있다.

9. 비즈니스 연속성 및 재해 복구 전략에는 코로나19 이후 업데이트 전략이 필요하다

2020년에 많은 기업들이 비즈니스 연속성을 추구했다. 기업 입장에서는 표면적으로 해커들의 공격 기회를 크게 확대하는 원격 접속과 100% 가상 운영을 지원하기 위해 인프라를 구축해야 하는 갑작스러운 필요성 사이에서 잘 준비된 IT 팀조차도 비즈니스 연속성과 재해 복구 전략 모두에서 신속하게 해결해야 하는 격차가 존재한다는 것을 인식하기 시작했다.

10. 중요 인프라 비즈니스가 공격 받고 있다

COVID-19의 세계적인 확산이 정점에 달했을 때 랜섬웨어 해커들은 평소보다 높은 빈도로 의료 및 연구 시설을 표적으로 삼기 시작했다. 경제가 COVID-19 이후 회복 단계로 이동함에 따라 공격자들은 이제 연료 유통업체, 유틸리티, 식품 생산 및 정부 기관을 포함한 주요 기반 시설 부문을 표적으로 삼고 있다.

이러한 공격은 제조 공급망, 식품 공급, 필수 도시 및 정부 서비스에 치명적인 혼란을 초래할 수 있다.

◆ 랜섬웨어 공격의 차세대 트렌드

인프라를 표적으로 삼고 몸값 지불을 넘어 공격을 확대하는 현재 추세가 계속되면 랜섬웨어의 피해는 시간이 갈수록 더 커질 것이다.

랜섬웨어 기술은 점점 더 정교해지고 있으며, 탐지하기가 더 어려워지고 있다. 사이버 보안 회사인 소포스(Sophos)의 최근 연구에 따르면 해커가 반드시 사이버 보안 대응을 촉발할 필요는 없는 기타 ‘합법적인’ 진입 방법을 사용해 네트워크에 접근하고 있다.

이 연구에 따르면 공격자들은 네트워크에서 탐지되지 않은 채 11일을 보냈다(일부는 15개월까지 소요됨). 오랫동안 탐지되지 않은 채로 있으면 공격자가 네트워크를 통해 측면으로 이동해 데이터를 유출하고 자격 증명을 훔치고 취약점을 악용할 수 있는 충분한 시간을 갖게 된다.

랜섬웨어를 방어해야할 책임을 갖고 있는 IT 팀은 가만히 앉아서 공격을 기다려서는 안된다. 능동적으로 랜섬웨어 방어 계획을 수립해야 한다.

◆ 불변 저장소(Immutable Storage)가 랜섬웨어 보호 전략에 미치는 영향

2021년 현재 사이버 보안에 쏟는 에너지를 어디에 집중해야 할지 고민이라면 랜섬웨어 보호부터 시작하는 것이 좋다. CSO와 CISO를 대상으로 한 최근 설문조사에 따르면 보안에 민감한 경영진의 거의 절반이 랜섬웨어를 조직의 가장 큰 사이버 위협으로 간주하고 있다.

이러한 설문 조사 결과는 2021년에 랜섬웨어 공격이 매우 활발할 것이라는 다른 보안 전문가의 예측과 일치한다. 전문가들은 또한 랜섬웨어 운영자가 랜섬웨어를 탐지하기 어렵고 복구하는 데 비용이 많이 들도록 고도화 할 것으로 예상하고 있다.

1. 포괄적인 랜섬웨어 보호 전략이 중요

우리는 모두 대기업, 병원, 학교, 관공서 등 산업분야 기업규모와 무관하게 랜섬웨어의 공격을 받았다는 사실을 알고 있다. 이들 중 일부는 몸값을 지불하는 하는 것으로 종결을 짓게 된다. 그러나 일부는 그렇지 않다. 몸값을 지불하기로 결정했는지에 대한 여부에 관계없이 한 가지 확실한 사실은 랜섬웨어로부터 벗어나기 위해서는 시간과 비용이 들어가고 기업의 평판이 나빠진다는 것이다.

사이버 보안 기술 제공업체인 소포스(Sophos)에 따르면 세계적으로 랜섬웨어 복구에 소요되는 평균 비용은 기업이 몸값을 지불할 경우 140만 달러, 그렇지 않은 경우 73만 달러로 나타나고 있다. 평균에는 다운타임, 운영 복원, 보안 감사와 같은 직접적인 비용만이 포함돼 있다. 랜섬웨어 공격 이후 정리에 소요되는 간접 비용을 고려하면 비용은 훨씬 더 늘어나게 된다.

예를 들어, 고객의 신뢰에 가격을 매기는 것은 어렵다. 연구에 따르면 오늘날 소비자는 데이터 유출을 경험한 회사와 거래를 중단할 가능성이 매우 높게 나타나고 있다. 고객을 잃는 것은 곧 수익을 잃는 것을 의미하며 기업으로서는 치명적이다. 이러한 간접 비용이 제외돼 있는 것이다.

새로운 차원의 고도화된 랜섬웨어 공격이 증가하면서 복구 비용이 급증하는 것은 물론 기업의 인지도에도 엄청난 영향을 미치게 되면서 포괄적인 랜섬웨어 보호 전략에 대해 고민해야 한다는 주장이 설득력을 얻고 있다.

최신 사이버 보안 기술을 도입하고 직원들의 보안 교육외에도 불변의 스토리지(Immutable Storage) 기능을 포함하는 데이터 보호 전략등을 수립해야 한다는 것이다.

2. 랜섬웨어 보호에서 불변 저장소(Immutable Storage)의 역할

불변 저장소(Immutable Storage)는 랜섬웨어와의 전쟁에서 핵심 방어 수단이다. 변경할 수 없다는 것은 데이터가 저장소에 저장되면 관리자 권한을 가진 사람(또는 일부 악의적인 것)일지라도 덮어쓰거나, 변경하거나, 변조하거나, 삭제할 수 없다는 것을 의미한다.

이 방법으로 데이터를 백업하면 감염되지 않은 최신 데이터 복사본을 항상 갖고 있기 때문에 랜섬웨어에 대응하고 기타 재해 복구도 어렵지 않게 수행할 수 있다.

2.1 랜섬웨어 복구 위해 불변 저장소(Immutable Storage)에만 의존하지 마라

해커들은 똑똑하고 랜섬웨어는 계속해서 정교해지기 때문에 완벽한 랜섬웨어 보호 전략을 설계하는 것은 불가능하다.

불변 스토리지(Immutable Storage)는 확실히 랜섬웨어 대응 전략의 일부이지만 IT 보안 팀은 여기에만 의존하지 말고 빠르게 변화하고 진화하는 랜섬웨어 변종 및 전술에 발맞추기 위해 방어 기술을 지속적으로 검토하고 조정해야 한다.

예를 들어, 일부 최신 랜섬웨어는 대상 백업 파일을 변형시키고 데이터를 암호화하여 백업본을 복구에 사용할 수 없게 만든다. 기업에서 변경할 수 없는 저장소를 사용하는 경우 이는 큰 문제가 아닐 수 있다. 하지만 위에서 언급한 주의 사항은 다음과 같다.

랜섬웨어는 데이터를 암호화하거나 멀웨어 방지 도구에 탐지되지 않고 네트워크에 침입하여 며칠, 몇 주 또는 몇 달 동안 숨길 수 있다. 랜섬웨어에 감염된 데이터의 변경할 수 없는 복사본을 저장하면 복사본이 다시 설치될 때 시스템을 다시 감염시켜 암호화된 데이터를 백업 없이 남길 수 있다.

3. 랜섬웨어로부터 불변 저장소(Immutable Storage)를 보호하는 방법

불변 저장소(Immutable Storage)는 포괄적인 랜섬웨어 보호 전략의 필수적인 부분이다. 그러나 다른 기술과 마찬가지로 불변성이 랜섬웨어 감염을 100% 막지는 못한다.

그렇다면 IT는 사이버 범죄자가 중요한 회사 데이터를 훔치거나 손상시키는 것을 더욱 어렵게 만들기 위해 또 다른 보호 계층을 추가할 수 있을까?

3-2-1 백업 전략은 표준화된 데이터 보호 기술이지만 랜섬웨어가 더욱 고도화 되면서 이 접근 방식을 재검토하고 수정하는 것이 좋다.

전통적으로 3-2-1 백업 방법의 1은 데이터 사본 하나를 오프사이트, 가급적이면 클라우드에 저장하는 것을 의미한다. 이제는 랜섬웨어가 백업 파일을 손상시킬 수 있으므로 이같은 방식으로는 데이터 보호에 한계가 있다.

현재 우리는 이 접근 방식에서 한발 더 나아간 3-2-1-1 백업 전략을 세워야 한다. 새롭게 추가되는 것은 랜섬웨어가 도달할 수 없도록 회사 네트워크에서 분리되고 오프라인으로 보호되는 에어갭(Air-gapped) 데이터 복사본을 만들어두어야 한다는 것이다.

사이버 범죄율이 증가하고 있는 상황에서 기존 보안 방법으로는 더 이상 랜섬웨어에 대응할 수 없다. 대신 데이터 보호에 대한 전체적인 접근 방식을 취해야 한다.

전체적인 데이터 보호는 랜섬웨어 및 기타 사이버 위협에 대한 여러 계층의 방어를 제공한다. 효과적인 랜섬웨어 방지 전략에는 백업 인프라 주변의 엔드포인트 보안, 악성 코드에 대해 시스템 및 데이터를 사전에 스캔하는 기능, 오프사이트 및 에어 갭 인스턴스를 포함한 여러 백업 복사본을 관리하는 기능이 포함되어야 한다.

데이터 보호 전략에 불변 저장소(Immutable Storage)를 추가하는 것이 중요하지만 불변성이 그 자체로 완전한 솔루션으로 간주되어서는 안 된다는 점을 알아야 한다.

◆ 아크서브가 제공하는 해결책

아크서브는 백업 및 보관을 위한 효율적이고 변경 불가능한 스토리지 인프라인 OneXafe를 제공하고 있다. OneXafe를 기업의 백업 대상으로 활용함으로써 백업 인프라 환경과 관련된 비효율성과 병목 현상을 제거할 수 있다.

아크서브는 클라우드 기반 관리 서비스인 OneSystem과 결합된 강력하면서도 단순한 통합 확장 스토리지 및 백업 어플라이언스인 OneXafe를 공급하고 있다. 이 솔루션은 백업 기능과 함께 고급 기능을 통합하고 여러 측면에서 관리 단순성을 제공하는 단일 인프라를 제공하기 위해 처음부터 현재의 스토리지 기술 발전을 완전히 활용하도록 설계되었다.

OneXafe는 변경 불가능한 스냅샷, 인라인 중복 제거, 저장 데이터 암호화 및 WAN 최적화 복제를 통한 재해 복구와 같은 모든 엔터프라이즈급 기능이 내장된 어플라이언스이다. 대부분 자동화되어 있어 설정 및 작동에 대한 전문 지식이 없어도 된다. 확장형 어플라이언스는 백업 및 보관 데이터를 사용이 간편한 단일 스토리지 인프라로 통합한다.

▶ 데이터 보호를 위한 불변(immutable) 스토리지

- 랜섬웨어 공격으로 암호화하거나 삭제할 수 없는 변경 불가능한 스냅샷에서 파일, 폴더 또는 전체 파일을 신속하게 복구한다. 몇 초 안에 TB 파일 공유 복제 또는 복구
- 단 네 번의 클릭으로 원격지 복제를 구성해 사이트 전체 장애로부터 보호

▶ 백업 스토리지 확장

- 고속 인라인 데이터 중복 제거 기능을 제공해 필요한 스토리지 용량 감소. 효율적인 블록 레벨 중복제거를 통해 데이터 유형에 따라 최대 10배까지 데이터 감소율 제공
- 디스크 단위의 스토리지 확장 지원. 백업 데이터의 증가에 대응할 수 있도록 OneXafe 노드 추가(최대 7노드) 및 즉각적인 용량 증설
- 선제적인 대규모 용량 증설 불필요

▶ 백업 인프라 관리 간소화

- RAID, LUN, 볼륨 설정이 필요없어 관리 복잡성 제거
- 디스크(Disk) 또는 어플라이언스 장애 발생 시 데이터 서비스를 중단하거나 스토리지를 재구성하지 않고 장애가 발생한 디스크(또는 클러스터의 어플라이언스) 제거 및 교체
- 웹 기반 OneXafe 백업 장치 관리 콘솔
- 간편하고 직관적인 관리 워크플로우.