[아이티데일리] 최근 예스24와 SGI서울보증 등 국내 주요 기업들이 랜섬웨어 공격으로 서비스가 마비되는 사태를 겪었다. 세계적으로도 피해가 잇따르며 랜섬웨어는 이제 사회 시스템 전반을 위협하는 재난이 됐다. 특히 ‘서비스형 랜섬웨어(RaaS)’가 활성화되며 위협은 예측 불가능한 수준으로 치닫고 있다.

전통적인 방어 체계가 한계를 드러내자, 랜섬웨어 대응 전략의 패러다임도 바뀌고 있다. 공격을 사전에 막는 ‘다층적 방어’와 뚫렸을 때를 대비하는 ‘신속한 복구’라는 두 개의 날개를 모두 갖추는 것이 기업 생존의 핵심 과제로 떠올랐다. 진화하는 랜섬웨어 위협에 맞설 실질적인 대응 방안을 조명한다.

랜섬웨어 감염, 최후의 보루는 ‘백업’

보안에 100%는 없다. 뛰어난 방어 체계를 갖추고 전문 인력을 투입한다 해도 ‘절대’ 뚫리지 않으리란 법은 없다. 공격자는 고도화된 보안을 공략하기 위한 방법을 찾아내고 있다. 특히 RaaS가 등장하며 랜섬웨어 공격은 홍수를 이루고 있다. 보안 업체에서 파악하기 어려울 정도로 늘어나는 데다 유포 전에 테스트까지 마치기에 대응하기란 매우 힘들다.

이노티움 이형택 대표(한국랜섬웨어침해대응센터장)는 “RaaS 조직이 활발히 활동하는 데다 AI로 악성코드를 만드는 일까지 가능해졌다”며 “이제 랜섬웨어가 쏟아지는 속도를 보안 업체들이 따라잡기 불가능한 수준에 이르렀다”고 말했다.

백업은 급증하는 랜섬웨어로부터 시스템을 지키는 최후의 보루다. 랜섬웨어 감염으로 주요 시스템이 마비돼도 준비한 백업으로 데이터를 신속히 복구한다면 피해를 최소화할 수 있다. 백업이 없는 채로 데이터가 암호화될 경우, 공격자가 제시한 조건에 응하지 않을 수 없다. 게다가 암호화폐로 돈을 건넨다고 복호화 키를 돌려받으리란 보장이 없으며, 공격자가 재차 시스템을 침해할 가능성도 제외할 수 없다. 백업이 랜섬웨어 대응에 꼭 필요한 이유다.

변경 불가 스냅샷, 에어갭으로 백업 공격 차단

랜섬웨어 조직도 백업의 중요성을 인지하고 있다. 때문에 백업을 먼저 공격하는 사례가 늘어나는 추세다. 빔 소프트웨어가 발표한 ‘2023년 랜섬웨어 트렌드 리포트’에 따르면, 랜섬웨어 공격 93% 이상이 백업 데이터를 공격했고 75%는 피해 복구 능력을 떨어뜨리는 데 성공했다.

백업 저장장치(스토리지) 및 소프트웨어 업체들은 공격자가 백업 데이터를 삭제, 위·변조할 수 없도록 보호하는 기술을 지원하고 있다. 랜섬웨어에 의해 암호화되지 않는 ‘변경 불가(Immutable) 스냅샷’을 적용하는 한편, 외부 위협이 닿지 못하도록 운영 시스템과 격리된 ‘에어갭(Air-gap)’ 환경을 구현하고 있다.

HS효성인포메이션시스템은 ‘WORM(Write Once, Read Many)’ 기반 스토리지 ‘히타치 콘텐츠 플랫폼(HCP)’을 제공한다. HCP에 보관된 백업은 손상되더라도 데이터 보호 정책에 의해 자동 복구되며, 실수로 인한 파일 삭제·훼손 시에도 버저닝(Versioning) 기능으로 이전 버전 파일을 복원할 수 있다. 네트워크 연결 저장장치(NAS) 환경에 대해서는 변경 불가 스냅샷 기능을 내장한 ‘VSP 원 파일(VSP One File)’을 제공하고 있다.

델 테크놀로지스는 백업과 재해 복구(DR)를 넘어 사이버 복구(Cyber Recovery)를 강조한다. 언제든 침해당할 수 있다는 가정하에 운영 환경과 격리된 복구 체계를 마련해야 한다는 것이다.

사이버 복구를 구성하는 핵심 요소는 변조가 불가능한 데이터 복제와 데이터 금고다. 변조 불가능한 데이터 복제본은 설정된 기간 내엔 어떠한 경우에도 삭제와 수정을 할 수 없어 랜섬웨어가 감염시킬 수 없다. 데이터 금고는 네트워크를 자동 차단하는 ‘에어갭’ 기술로 핵심 데이터를 안전히 격리 보관하는 장소다. 델 테크놀로지스는 △델 파워프로텍트 △델 파워맥스 △델 파워스케일 등 제품군으로 고객 환경과 요건에 맞는 사이버 복구 방안을 제공하고 있다.

데어터 보호 솔루션 업체 ‘베리타스’를 인수한 코헤시티도 안정적인 백업·복구를 위한 솔루션 제품군을 강화하고 있다. ‘넷백업 11.0’은 비정상 사용자 행위 감지 기능을 고도화했으며 위험 점수 평가를 개선해 악의적 행위를 동적으로 탐지·차단하도록 구현했다. 온프레미스, 클라우드 등을 통합 관리하는 ‘코헤시티 데이터 클라우드’는 최근 구글 위협 인텔리전스와 통합돼 백업 내 숨겨진 위협을 신속히 탐지하는 기능이 더해졌다.

중소·중견기업 피해 증가세…“백업 격리 등 대비책 갖춰야”

보안 업계는 진화하는 랜섬웨어에 맞서 다양한 기술적 해법을 제시하고 있다. 하지만 이러한 최신 기술 앞에는 ‘비용’과 ‘인식’이라는 현실적인 장벽이 존재한다. 많은 기업이 여전히 백업 대상을 축소하거나 저사양 장비에 의존하며 랜섬웨어를 ‘나에게는 일어나지 않을 일’처럼 여기고 있다. 이러한 경향은 인력, 예산이 제한적인 중소·중견기업에서 더욱 두드러진다.

랜섬웨어 조직은 이같은 중소·중견기업의 약점을 파고들고 있다. 지난 1월 한국인터넷진흥원(KISA)이 발표한 ‘2024년 하반기 사이버 위협 동향 보고서’에 따르면, 지난해 신고된 랜섬웨어 공격 가운데 중소기업과 중견기업의 비중은 94%를 차지했다. 지난 2022년 88.5%, 2023년 92%와 비교하면 꾸준히 증가하고 있음을 알 수 있다.

코헤시티 관계자는 “랜섬웨어 등 보안 사고가 발생하지 않으면 백업에 든 비용을 ‘버려진 돈’으로 여기는 인식이 남아있다”며 “이는 데이터 백업의 중요성을 간과하게 만들고, 최신 솔루션 도입을 주저하게 만드는 요인이 되고 있다”고 꼬집었다.

업체들은 여력이 부족한 중소·중견기업일지라도 최소한 백업을 운영 시스템과 분리할 것을 권고한다. 가령 ‘3-2-1’ 전략을 준수함으로써 백업이 손상될 우려를 차단해야 한다는 지적이다. 3-2-1 전략이란 백업 세트 3개를 유지하고 서로 다른 2개의 저장매체를 활용하며 1개는 격리된 위치에 보관하는 방법론을 뜻한다.

HS효성인포메이션시스템 권필주 전문위원은 “랜섬웨어는 기업 규모와 관계없이 치명적인 피해를 낳기에 최소한의 대비책은 갖춰야 한다”며 “예산과 자원이 부족하더라도 기초 보안 체계, 데이터 백업 전략은 반드시 준비해야 한다”고 강조했다.

[인터뷰] “삭제, 위·변조 막는 백업 기술, 선택 아닌 필수”

Q. 공격자들은 백업까지 노리고 있다. 이에 대응하는 방안은.

“랜섬웨어에 대응하는 가장 확실하고 검증된 방법은 백업이다. 이 사실을 공격자들도 잘 알고 있다. 그래서 시스템에 침투하면 가장 먼저 백업 데이터를 삭제하거나 암호화한다. 사이버 공격에 대비하기 위해선 최대한 자주 백업을 할 수 있으면서도 삭제, 위·변조로부터 안전해야 한다.”

“전통적인 백업 방식은 백업, 복구 모두에 시간이 오래 소요된다. 이를 보완하기 위해 나온 기술이 ‘스냅샷(Snapshot)’이다. 스냅샷은 특정 시점의 데이터 이미지를 생성해 저장하는 방식이다. 전통적인 백업보다 적은 용량을 차지하고 더욱 빠른 속도로 데이터를 복사할 수 있다. 특히 수정이나 삭제가 불가한 ‘변경 불가(Immutable)’ 스냅샷은 저장장치가 악성코드에 감염되는 등 복구가 어려운 상태에서도 시스템을 이전 상태로 복원할 수 있다.”

“데이터 무결성도 중요한 요소다. HS효성인포는 ‘WORM’ 스토리지를 통해 데이터를 변경, 삭제, 위·변조할 수 없도록 보호한다. WORM은 저장장치에 데이터를 한 번만 쓸 수 있고, 삭제나 수정을 방지하는 기술이다. 따라서 어떤 침해 시도에도 데이터를 원천적으로 보호할 수 있다. 회사는 WORM 스토리지 제품으로 ‘히타치 콘텐츠 플랫폼(HCP)’를 제공하고 있으며, ‘VSP 원 파일(VSP One File)’을 통해 NAS 환경에서도 WORM 파일 시스템을 지원한다.”

Q. 다양한 백업 기능의 현장 적용이 더딘 원인은.

“먼저 백업 대상과 범위에 대한 인식 부재다. 실제 랜섬웨어 사례를 보면 공격자들은 데이터뿐 아니라 서버 OS 등 가능한 한 모든 데이터를 암호화하는 경향을 보인다. 하지만 기업들은 중요 데이터만 백업하는 경향이 있다. 이 때문에 DB나 사용자 정보는 스냅샷을 통해 복구할 수 있었으나, 서버 OS 영역은 대비하지 못해 이를 다시 포맷하고 설치하는 일도 일어난다. 이 경우 서비스를 복구하는 데 더 오랜 시간이 걸린다.”

“저장장치의 성능도 기업이 백업 보안을 강화하지 못하는 이유 중 하나다. 변경 불가 스냅샷을 이용하기 위해선 고성능 저장장치가 필요하다. 구형 또는 중저가의 저사양 저장장치에서는 변경 불가 스냅샷을 적용하기 어렵다.”

Q. 중소기업이 갖춰야 할 최소한의 랜섬웨어 대응책은.

“중소기업은 인력과 예산 모두 부족하기에 보안 투자가 상대적으로 어렵다. 하지만 랜섬웨어는 기업 규모와 무관하게 치명적인 피해를 주기 때문에 최소한의 대비책은 마련해야 한다. 우선 자동화된 정기 백업 체계는 필수다. 시스템이 마비되더라도 백업 데이터로 빠른 복구가 가능해야 한다.”

“기본적인 보안 정책과 계정 관리 체계 정비도 필요하다. MFA, 패치 자동화, 관리자 권한 최소화 등으로 각종 위협에 선제 대응할 수 있다. 직원 대상으로 보안 인식 교육을 정기적으로 실시하는 것도 중요하다. 이메일, 문서 등을 통한 사용자 실수로 랜섬웨어에 감염되는 사례도 빈번하게 일어난다. 전 직원의 보안 의식을 제고하는 일만으로도 큰 예방 효과를 거둘 수 있다.”

“예산과 자원이 부족하더라도 데이터 백업 전략만큼은 반드시 준비해야 한다. 핵심 데이터 보호와 신속한 복구를 위한 기본이다. HS효성인포메이션시스템은 중소기업에도 실질적 보안 효과를 제공할 수 있도록 운영 복잡도를 최소화한 데이터 보호 솔루션을 지속적으로 확대해 나가고 있다.”