탐지-보호-복구로 이어지는 복구 체계 구축 등 데이터 보호 전략 확대 필요

[아이티데일리] 랜섬웨어 공격을 당한 기업들 가운데 일부는 빠르게 피해를 복구하기 위해 몸값을 지불하지만 공격자들이 몸값을 받는다 하더라도 반드시 복구를 보장하지는 않는 것으로 조사됐다. 따라서 데이터 백업 및 복구 솔루션을 준비해 유사시 빠르게 복구하는 것만이 사실상 완전한 대비가 어려운 랜섬웨어 공격에 대한 유일한 해결책인 것으로 보인다.

29일 차세대 데이터 보호 솔루션 글로벌 기업 빔 소프트웨어(한국지사장 김기훈)는 랜섬웨어 피해 규모와 대응 전략을 조사한 ‘빠른 복구가 몸값 지불보다 안전한 이유’ 백서를 발표했다. 빔 소프트웨어가 IT 시장분석 및 컨설팅 기관인 IDC와 협력해 발간한 이 백서는 IDC의 ‘전 세계 미래 엔터프라이즈 복원력 및 지출 조사’를 토대로, 랜섬웨어 공격으로 인해 기업이 입은 피해 규모와 공격 이후 데이터 복구를 위한 전략을 파악하기 위해 작성됐다. 또한 이 백서는 랜섬웨어로 인한 피해를 최소화하는 방법도 조사했다.

Q. 가장 최근 랜섬웨어 공격에 어떻게 대응했는가?
Q. 가장 최근 랜섬웨어 공격에 어떻게 대응했는가?

백서에 따르면 단 1분간의 서비스 중단으로도 막대한 손해를 입을 수 있기 때문에 몇몇 기업은 랜섬웨어 공격을 당했을 때 빠른 피해 복구를 위해 몸값을 지불하는 것으로 나타났다. IDC의 ‘전 세계 미래 엔터프라이즈 복원력 및 지출 조사’에 따르면, 랜섬웨어 공격을 받은 응답자 중 약 28%가 몸값을 지불한 뒤 피해를 복구할 수 있었다고 밝혔다.

하지만 몸값 지불은 복구를 보장해주지 않으며, 그리 간단한 선택지도 아니다. 백서는 몸값 지불을 결정한 이후에는 법무팀을 비롯한 많은 구성원과 논의를 거쳐야 하며 몸값 협상에도 많은 시간이 할애된다는 점과 몸값 지불 후 제공받는 암호 해독기도 보통 최적화된 소프트웨어가 아니기 때문에 해독 과정도 많은 시간이 들어간다는 점, 마지막으로 해독을 완료한 경우 해독된 데이터의 오염 여부나 원상복구에 대한 보장도 할 수 없다는 점을 들었다.

몸값을 지불하지 않는 선택지도 리스크가 존재한다. IDC 조사에 따르면 응답자의 약 32%는 백업 파일에서 암호화된 데이터를 복구할 수 있었다. 현재 많은 백업 전문 기업이 빠르고 안정적인 방법으로 데이터를 복구하는 도구와 솔루션을 제공하기 때문에 자체적으로 데이터를 복구하는 사례는 점차 많아질 것으로 보인다.

랜섬웨어 공격을 예방하는 것은 최고의 방법이지만 현실적으로는 불가능하다. 몇몇 기업은 빠르고 안정적인 복구 체계를 구축하는 등 데이터 보호 전략을 확대했다. 랜섬웨어의 공격을 받은 응답자 중 약 32%가 이러한 복구 체계 구축을 통해 몸값을 지불하지 않고 데이터를 복구할 수 있었다. 올바른 데이터 보호 전략은 아래 세 단계로 구성된다.

첫 번째 단계는 탐지(Detection)로, 보안 사고가 발생하는 즉시 이를 파악하고 중지시키는 것을 말한다. 이를 위해 기업은 데이터 접근권한을 부여할 인원, 사용 시기, 방법 등이 명시된 정책을 수립한다. 이를 기반으로 보안, 데이터 관리 제어를 통한 무단 접근, 오용 혹은 유출 및 도난으로부터 민감한 정보를 보호할 수 있다. 발생 가능한 랜섬웨어 공격에 대한 사고 대응 프로세스, 매뉴얼을 명시해 데이터 보호의 기반을 제공한다.

두 번째는 보호(Protection)다. 신속한 랜섬웨어 복구에는 복구 대상 데이터의 백업 복사본 생성이 중요하다. 여기에는 암호화, 변경 불가 스토리지, 에어갭과 같은 백업 외에도, 백업 데이터의 복사본을 여러 위치에 저장하거나 백업 데이터를 관리 인원의 권한을 제한하는 것 등이 포함된다.

마지막은 데이터 보호 전략을 완성하는 복구(Recovery)다. 초기 복구는 격리된 샌드박스 환경에서 보안 팀이 포렌식을 진행하고 악성 프로그램이나 침입의 징후가 있는지 검사할 수 있다. 복구 전략이 수립되면 사고 상황에 대비한 훈련 등 반복적인 테스트도 필요하다.

랜섬웨어는 주로 백업 데이터를 삭제하기 때문에 안전한 백업 데이터 확보는 매우 중요하다. IDC 조사에 따르면, 응답자의 절반(50%)은 랜섬웨어 공격자가 백업 데이터를 표적으로 삼았으며 23%는 랜섬웨어 공격으로 백업 데이터를 잃었다고 답했다. 랜섬웨어 공격을 경험한 응답자의 75% 이상이 데이터를 탈취당했다고 응답한 만큼 데이터 유출 또한 심각한 문제다. 백서는 이러한 랜섬웨어 공격에 대응하기 위해 예방, 탐지 및 복구 모두가 통합된 사이버 보안 전략을 세워야 한다고 밝혔다.

빔 소프트웨어는 데이터 보호와 보안이 동시에 가능한 솔루션을 제공하고 있다. 물리적 환경에서 AWS, 애저, 구글 클라우드, 쿠버네티스, SaaS 워크로드와 같은 퍼블릭 클라우드까지 다양한 플랫폼 전반에 걸친 데이터 관리가 가능하다. 단순 조작으로도 온프레미스 및 클라우드에서의 데이터를 보호할 수 있다.

오케스트레이션(Orchestration)을 통해 재해 복구, 문서화, 테스트 및 규정 준수 자동화가 가능하다는 것도 큰 이점이다. 많은 기업은 재해 복구 전략이 없거나, 비용과 복잡성으로 인해 부분적인 전략만을 가지고 있다. 오케스트레이션은 복구와 관련된 많은 일반적인 작업을 자동화해 재해 복구 프로세스를 단순하게 만든다.

빔소프트웨어 김기훈 한국지사장은 “해커들은 보안 기술을 회피하거나 역이용하는 형태로 진화하기 때문에 랜섬웨어 예방에는 한계가 있으며 궁극적으로 유일한 대비책은 백업”이라면서 “빔 소프트웨어의 차세대 데이터 보호 솔루션을 통해 기업은 업무 중단 시간을 최소화하고 재해 복구를 신속하게 진행할 수 있다. 특히, ‘변경불가 백업’은 백업 파일을 삭제하는 대부분의 랜섬웨어 공격에 효과적”이라고 밝혔다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지