[아이티데일리] 최근 많은 기업 및 기관이 해커로부터 랜섬웨어 공격을 당하고 있다. 랜섬웨어 방어를 위해 다양한 보안장비를 도입했음에도 보안에 제대로 대응하지 못하고 있는 실정이다. 수많은 서비스가 중단되고 막대한 비용을 지불하고 복구하는 경우가 많다.

빔 소프트웨어(Veeam Software)에서 조사한 자료에 의하면 해커들의 백업저장소를 공격 대상으로 삼고 있는데 랜섬웨어 공격 중에 약 96%에 해당되며, 백업데이터를 암호화 또는 삭제해 복구를 못하도록 하는 것으로 조사되었다. 또한 소포스(Sophos)의 조사에 의하면 산업별로 백업데이터 공격을 시도한 비율은 약 94%로 나타났다.

랜섬웨어로부터 데이터를 보호하기 위한 방안

해커들로부터 랜섬웨어 공격 시 백업데이터를 보호하고 서비스를 보다 빠르게 복원하기 위해서는 다음과 같은 조치가 필요하다.

첫째, 변경 불가능한 저장소를 구성해야 한다. 백업데이터를 저장하는 스토리지단에 변경 불가능한 저장소를 구성할 경우 해커들로부터 백업데이터를 안전하게 보호할 수 있다. 기존에는 백업솔루션에서 소프트웨어적으로 불변성(Immutability) 기능을 구현해 데이터 변조가 불가능하도록 구성했다.

최근에는 엑사그리드에서 하드웨어적으로 랜섬웨어에 대응할 수 있도록 불변성 기능과 논-네트워크-페이싱(Non-Network-Facing) 기능을 구현한 백업 전용 스토리지 제품군을 발표했다. 이 제품은 하드웨어 내부적으로 ‘에어갭(Airgap)’을 구현하기 때문에 데이터 변조가 불가능하다. 이처럼 원천적으로 데이터 변조가 불가능하도록 설계한 스토리지가 출시되고 이들 스토리지가 다양한 백업소프트웨어와 연동되면서 백업데이터가 보다 더 안전하게 보호되고 있다.

두 번째는 백업시스템 인증강화 및 2차 관리자 승인을 통해 백업환경 보안이 필요하다. 일반적으로 백업시스템을 단순 패스워드 인증으로만 사용하는데, 해야 한다. 그리고 백업장비에서 백업파일 삭제 및 저장소 삭제 등 파괴적인 작업을 방지하기 위해 4-아이즈(Eyes) 인증 방식을 구성해 2차 관리자 승인 과정을 통해서만 백업파일 삭제가 가능하도록 해야 한다.

세 번째, AI 엔진을 통한 랜섬웨어 패턴을 분석하도록 구성해야 한다. 백업이 구성되어 있는 가상머신(VM)/물리 서버 내 OS 및 데이터를 AI/ML 기반 콘텐츠 분석을 하여 침해지표(IoC) 감지를 통해 위협 행위자가 사용하는 도구가 존재하는지 그리고 파일시스템 활동분석을 통해 알려진 랜섬웨어 유형이 있는지를 감지하도록 구성해야 한다.

데이터 보호 전략을 위해 빔이 제시하는 3-2-1-1-0 전략

랜섬웨어를 비롯한 다양한 공격으로부터 데이터를 보호하려면 3-2-1 전략으로 데이터 보관에 대한 조치도 필요하다.

3-2-1 전략은 중요데이터에 대해 3개 사본을 만들고 3개 중 2개는 다른 미디어에 저장하고 1개는 오프사이트에 백업데이터를 저장하는 것을 의미한다. 빔 소프트웨어(Veeam Software)는 추가적으로 백업데이터 중 하나는 반드시 불변성을 제공하는 스토리지에 저장하도록 불변성을 제공하며 백업 복구 검증 시 오류가 없도록 데이터 보호 전략을 제공한다.

또한 다양한 프라이빗 클라우드 환경은 물론 VM웨어(VMware)뿐만 아니라 및 KVM 기반인 레드햇(Red hat)/오픈스택(Openstack)/모피어스(Morpheus) 환경에서도 백업데이터 복원검증 구현이 가능하다.

빠른 서비스 복원을 위한 Cloud-DR서비스

랜섬웨어 공격을 받은 상황에서 기업 및 기관은 빠르게 서비스를 복구하는 게 무엇보다 중요하다. 기존 데이터를 빠르게 복구할 수 없다면 Cloud-DR 서비스를 이용하는 것이 좋다. 이를 위해서는 평상시에 DR 센터를 유지해야 한다.

Cloud-DR의 경우, Global CSP(AWS/Azure/GCP)를 이용할 경우 평시에는 데이터 저장비용과 최소 인스턴스 비용만 발생한다. 별도로 데이터센터를 구축하고 운영하는 것보다 비용면에서 효율적이다. 그리고 DR 훈련도 보다 쉽게 진행할 수 있으며 사전에 DR 체계를 확립할 수도 있다.

DR센터를 구성할 경우 데이터에 대한 동기화가 문제될 수 있다. 고객 상황에 따라 데이터센터와 퍼블릭 클라우드 간에 가상 확장 LAN(VxLAN) 구성을 통해 동일 네트웍 통신이 가능하다. 이 경우 유연한 네트워크 구성 및 데이터에 대한 트랜잭션 동기화가 이루어진다.

컴플라이언스 문제로 DR센터를 퍼블릭 클라우드로 구현하기 어려울 경우 프라이빗 클라우드를 KVM(Morpheus, Proxmox) 기반으로 구성하면서 빔 소프트웨어를 적용, 인프라비용을 줄이면서 DR 서비스를 구현할 수 있다.

메인센터와 DR센터를 VM웨어 기반 프라이빗 클라우드로 구성한다면, CDP(Continuous Data Protection) 기능을 통해 수 초 만에 VM 데이터를 복제할 수 있도록 구성할 수 있다.

랜섬웨어로부터 데이터를 보호하기 위해 Cloud-DR을 구성하면 보다 빠르게 서비스 연속성을 구현할 수가 있어 고객 신뢰도 향상 및 비용면에서 큰 효과를 볼 수 있을 것으로 보인다.

보안을 고려해 설계된 백업, 클라우드로 자동화된 DR을 통해서만이 랜섬웨어로부터 데이터를 안전하게 지킬 수 있다.

향후 랜섬웨어는 보다 더 정교해지고 집요해질 것이다. 탐지조차 어려운 공격에 대비하려면, 선제적 대응 및 복구 체계를 갖춰야 한다. Cloud-DR이 곧 경쟁력이다.