[취재.txt] 랜섬웨어 공격 남일 아니다…‘최후의 보루’ 백업 체계 갖춰야
랜섬웨어 공격자들 백업 시스템부터 노려…에어갭·불변 스토리지 등 검토해야
[아이티데일리] 랜섬웨어 공격이 사이버 보안 업계의 뜨거운 감자로 떠올랐다. 한 달여 사이 예스24(6월 9일)와 SGI서울보증(7월 14일)이 연이어 랜섬웨어에 당한 것이다. 보안 투자액이 적고 대응 체계가 허술하다며 두 기업의 잘못만을 탓할 수도 있겠지만, 사실 보안 담당자들은 “그러게 잘 했어야지”하며 남일 보듯 할 수 없는 게 사실이다. 사이버 보안에서 100% 안전을 담보한다는 것은 누구도 장담할 수 없고, 국내 현실을 감안한다면 랜섬웨어에 당하더라도 두 업체처럼 큰 피해를 입을 가능성이 없는 경우는 전체의 5% 미만일 것이기 때문이다. 그래서 결국 이번 두 랜섬웨어 공격 사례로 인한 교훈은 “백업 시스템이 얼마나 중요한가”로 결론지을 수 있을 것 같다.
지난달 공격을 받은 예스24는 백업 서버까지 랜섬웨어로 인해 암호화돼 5일간 서비스 전면 중단과 100억 원 이상의 피해를 기록한 것으로 보도됐다. 서비스 중단과 함께 2천만 회원의 개인정보 유출 우려를 받아낸 예스24는 닷새 만에 겨우 서비스를 재개했지만, 일부 기능은 2주 이상 지연되며 진땀을 흘렸다. 그리고 이처럼 예스24가 복구에 장시간을 소요한 이유는 랜섬웨어의 영향을 받지 않은 백업본이 없었기 때문으로 알려졌다.
반면 SGI서울보증은 다소 상황이 다른 것으로 파악된다. 아직 피해 사실을 밝힌 지 며칠 되지 않긴 했지만, 백업 데이터가 보존돼 있어 데이터 정합성만 확인되면 복구가 가능하다는 금융 당국 측의 코멘트가 있었다. 즉 실시간 백업 자료는 오염됐지만 랜섬웨어 감염 전에 백업받은 데이터가 별도로 보존됐고, 이를 활용해 복구 작업을 진행할 수 있을 것이란 설명이다.
이 같은 차이는 랜섬웨어 대응에서 백업이 얼마나 중요한지를 보여준다. 랜섬웨어 공격자들은 갈수록 백업 시스템을 무력화하는 데 집중하고 있다. 빔 소프트웨어의 조사에 따르면, 이미 2023년에도 랜섬웨어 공격의 93%가 백업 저장소를 노린 것으로 집계돼 관련 경고가 곳곳에서 나왔다. 특히 조사에 응답한 조직의 75%가 공격 중에 백업 저장소에 피해를 입었으며, 39%는 완전한 손상을 경험했다고 답했다.
국내 역시 마찬가지 분위기다. KISA가 집계한 국내 랜섬웨어 피해 사고 조사 결과를 보면, 백업파일까지 감염된 비중은 2022년 상반기 23.1%였으나 2024년 하반기에는 43.6%까지 크게 늘어난 것으로 집계됐다. 여기에 최근에는 내부망에 은밀히 침투해 데이터를 손상시키고, 손상된 데이터가 백업되기를 기다린 후 데이터 암호화를 수행하는 고도화된 방식도 나타나고 있다.
사실 백업 업계는 랜섬웨어 대비책을 오래 전부터 강조해왔다. ‘3-2-1’ 백업 원칙을 기본으로 내세워야 한다는 캐치프레이즈가 대표적 예다. 이는 3개의 데이터 사본을 만들고, 2개는 서로 다른 미디어 장치에 로컬 저장하며, 나머지 1개는 물리적·논리적으로 분리된 ‘오프사이트’에 저장하는 것을 말한다. 여기에 백업 서버를 네트워크에서 분리하고, 관리자 계정을 다르게 하며, 백업 시에만 네트워크에 연결하는 것 등도 함께 제시했다.
최근에는 에어갭 백업의 중요성도 강조했다. 에어갭 백업은 중요한 데이터를 ‘오프라인’ 상태의, 즉 네트워크를 통해 접근할 수 없는 미디어 또는 시스템에 복사 및 저장하는 방법이다. 특히 가장 등급이 높은 물리적 에어갭은 모든 네트워크 장치에서 스토리지 볼륨을 분리하는, 즉 모든 연결을 끊는 방식이다. 최고 수준의 보안을 제공하지만 가장 복잡한 접근 및 복구 절차가 필요한 것은 단점이다. 여기에 더해 데이터의 삭제나 변조를 허용하지 않는 불변(Immutable) 스토리지까지 추가해 3-2-1-1 원칙을 말하기도 한다. 이렇듯 백업 대책이 수년, 아니 수십 년 전부터 제시 및 강조돼 왔음에도, 대부분의 기업이 여전히 보안 및 백업에 충분한 투자를 하지 않고 있다는 것이 문제라 할 수 있다.
예스24와 SGI서울보증 사건은 랜섬웨어 공격을 100% 막을 수는 없더라도 적절한 백업 체계를 갖추면 피해를 최소화할 수 있다는 교훈을 남긴다. 백업은 단순한 예비용이 아니라 랜섬웨어가 활개를 치는 지금 이 시대, 식상한 표현이지만 ‘최후의 보루’라 할 수 있다. 기업 의사결정자들은 지금이라도 백업 대책을 서둘러 마련해야 한다. 중요 데이터는 오프라인 서버에 보관하거나 이중 백업을 하고, 에어갭 스토리지나 불변 스토리지의 도입 등까지 다각적인 방안을 검토해봐야 한다. 아무리 강력한 보안 시스템을 갖추고 있더라도, 만약의 사태 발생 시 백업 없이는 한순간에 무너질 수 있다는 것이 이번 사건의 교훈임을 되새기자.