[데이터넷] “랜섬웨어 공격을 보안 솔루션만으로 100% 예방할 수는 없다. 해커들은 IT 담당자보다 한 발 앞서 있기 때문이다. 그렇기에 공격을 당하더라도 빠르게 복구할 수 있는 백업 방안을 마련해야 한다.”

천대영 베리타스코리아 이사는 7일 <데이터넷TV>에서 열린 온라인 세미나에서 ‘랜섬웨어로부터 데이터를 지키는 검증된 방법’을 소개하며 이같이 밝혔다.

그간 백업은 사용자 오류나 계획된 다운타임, 하드웨어 오류, 자연재해 등에 대비하기 위한 수단이었지만 최근에는 과거 데이터를 복원해 소송 등 법적요건 발생 시 증빙자료로 제출하거나 랜섬웨어 등 사이버 위협에 대응하기 위한 방안으로 필요성이 커지고 있다.

문제는 기존 백업 소프트웨어와 VTL 등 레거시 백업 장비로는 랜섬웨어 피해에 효과적으로 대응하지 못한 사례가 늘어나고 있다는 것이 천 이사의 설명이다. 지난해 국내 최대 패션/유통그룹이 랜섬웨어 공격을 당했을 때 일부 백업서버도 감염됨으로써 매장 운영에 차질을 빚은 사례가 대표적이다.

천대영 이사는 “보안에 취약한 윈도우 환경, 사용자 중심의 보안 관리 백업 서버는 사이버 공격에 취약할 수밖에 없다”며 “별도로 통제되고 격리된 백업 보안 환경이 반드시 필요하다”고 강조했다.

그렇다고 클라우드 서비스나 폐쇄망으로 운영되는 데이터센터가 안전할 것이라고 맹신해서는 안 된다. 미국 IT서비스 업체 코그니전트가 운영하는 인도 데이터센터에 랜섬웨어 피해가 발생해 7000만 달러의 손실을 입은 것으로 추정되며, 미국 최대 송유관인 ‘콜로니얼 파이프라인’도 랜섬웨어 공격을 받아 큰 파동이 일었다.

천 이사는 “랜섬웨어 공격이 해커들에게 상당히 큰 비즈니스로 여겨지면서 앞으로도 공격이 지속될 것”이라며 “강력한 데이터 백업·복구 전략을 갖추는 것이 중요하다”고 말했다.

랜섬웨어 대응, 보안 백업이 정답
랜섬웨어 공격자는 지속적으로 전술을 바꾸고 있기 때문에 데이터 백업·복구에 대한 랜섬웨어 대응 전략을 갖추는 것이 중요하다. 랜섬웨어 공격을 당했을 시 몸값을 지불한다 해서 모든 데이터를 되찾을 수 있는 것도 아니기 때문이다.

개인에 비해 수익성이 높은 기업 대상 공격도 늘어나고 있으며, 단순히 데이터만 노리는 것이 아니라 시스템 자체를 타깃으로 삼기도 한다. 컴퓨터 시스템상에서 실행되고 운영체제에서 제어할 수 있다면 그것이 무엇이든 간에 사용자가 슬 수 없도록 공격한다.

랜섬웨어는 데이터가 있는 모든 곳을 공격할 수 있다. 모든 시스템들이 네트워크로 연결돼 있기 때문이다. 망분리 환경과 같은 폐쇄망도 마찬가지다. 모든 조직에는 보안 홀이 존재하고, 완벽한 보안은 불가능하기 때문이다. 실제 국내에서는 외부 직원의 PC 등을 이용한 공격 사례와 해외 지사를 통한 국내 본사 공격 사례가 있었다.

랜섬웨어 피해가 발생하면 백업된 데이터를 통해서 복구해야 하지만, 해커들이 백업 서버에도 접근할 수 있기 때문에 보안된 백업이 중요하다.

보안된 백업은 기본적으로 백업 데이터 보호가 중요하다. 이를 위해 원본과 다른 형식으로 백업 데이터를 보호하고, 데이터 사본 간 격리, 백업 데이터 암호화, 사용자 액세스 제어, 데이터 정합성 유를 위한 검증 및 치유 방법 등을 갖춰야 한다.

이슈 발생 시 신속하게 데이터를 복구하려면 백업 환경 자체에 대한 보안성도 유지돼야 한다. 백업 서버가 잠식되면 데이터가 있어도 복구하지 못하는 경우도 발생하기 때문이다.

천대영 이사는 “계란을 보관할 때 한 바구니에 담지 말라는 이야기가 있다. 그러나 대부분의 기업 인프라는 모두 하나의 보안 정책 기반으로 운영된다. 백업 시스템도 운영 환경과 동일한 레이어에서 관리되며, 사이버 공격 발생 시 백업 환경까지 침해가 발생한다”며 “백업 환경을 기존 보안 환경과 격리된 별도의 보안 환경으로 운영해야 한다”고 당부했다.

기존 보안 인프라와 분리된 백업 환경 구성
현실적으로 기업이 기존 IT 보안 인프라와 별개로 백업 환경을 운영하는 것은 불가능하다. 이에 베리타스는 보안이 강화된 ‘넷백업 어플라이언스’를 제안하고 있다.

넷백업 어플라이언스에는 시스템 자체를 보호하기 위한 침입탐지(IDS)·침입차단(IPS) 기능이 기본 탑재돼 있어 해킹 자체가 불가능하며, 멀웨어가 침투한다 하더라도 탐지, 차단되기 때문에 안정적으로 백업 환경을 운영할 수 있다.

불변(Immutable) 스토리지 기능도 제공한다. 미국 국가 표준 정책을 따른 WORM 스토리지 기능을 제공함으로써 백업된 데이터를 다시 한 번 안전하게 보호하는 역할을 한다.

넷백업 어플라이언스는 기존 사용자이 아닌 제조사 중심의 보안성을 제공한다. 다양한 보안 강화 구성 요소들이 탑재돼 있어 사용자가 운영하는 보안 솔루션과 별개의 백업 환경을 유지할 수 있다.

베리타스는 랜섬웨어에 대응하기 위해 엣지부터 클라우드까지 모든 곳의 데이터를 보호하고, 해커의 징후를 신속하게 감지하며, 랜섬웨어 피해 발생 시 신속하게 복구할 수 있는 체계를 제공한다.

탐지 측면에서는 AI 기반 이상징후 탐지 기능이 추가됐다. 데이터 백업 시 파일명, 크기뿐만 아니라 누가 만들었고 수정했는지 등 많은 정보를 수집해 카탈로그로 저장한다. 백업을 실행하면 기존 백업 데이터와 정보들을 비교하고 이상 발견 시 통보함으로써 사용자가 대응할 수 있게 한다.

보호 측면에서는 AWS 클라우드 내에서도 백업된 데이터를 해커들이 건드리지 못하도록 불변 스토리지 기능을 제공하며, 데이터 전송 및 미전송 데이터에 대한 강력한 암호화 기능을 제공한다.

VM웨어 가상화 환경에 대한 지속 데이터 보호(CDP) 기능도 추가됐다. 가상화 환경의 VM들을 동적 스냅샷으로 백업할 시 일관성 유지를 위해 잠시 정지하는 ‘스턴’ 현상이 발생하는데, IO가 많은 시스템에서는 스턴 시간이 길어지며 서비스 장애가 발생하기도 한다. 넷백업은 CDP 기능으로 ‘스턴’ 없이 안정적인 가상화 환경 백업이 가능하다.

인스턴트 롤백 기능도 추가돼 필요한 시점에 필요한 블록들만 신속하게 복구할 수도 있다.

천대영 이사는 “베리타스 솔루션은 기업의 시스템이 클라우드, 온프레미스 등 어디에 위치하든지 상관없이 일관된 데이터 보호 성능을 제공하고, 레질리언스가 뛰어나 랜섬웨어 대응에 최적이다”고 밝혔다.

HCI 지원부터 랜섬웨어 대비까지 한 번에
이날 세미나에서는 고려사이버대학교의 사례 발표도 이어졌다. 고려사이버대학교는 지난해 넷백업 어플라이언스를 도입해 활용 중으로, 하이퍼컨버지드 인프라(HCI) 기반의 가상 환경에서도 단일 솔루션만으로 효율적인 백업 환경을 구현했다는 점에서 높은 평가를 받고 있다.

최동석 고려사이버대학교 정보시스템팀장은 “기존에 사용 중이던 제품은 백업 속도가 느리고, 중복제거 지원이 잘 되지 않아 스토리지 사용량도 많았으며, 한정된 라이선스로 인해 늘어나는 모든 서비스를 백업하는 것이 어려웠다”며 “HCI와 클라우드 환경을 지원할 수 있는 솔루션을 도입하고자 했다”고 설명했다.

고려사이버대학교는 시중에 있는 여러 백업 솔루션을 검토한 끝에 베리타스의 넷백업 어플라이언스를 선택했다. 소프트웨어 방식보다는 어플라이언스 방식이 운영 상황에서 안정적으로 서비스를 할 수 있을 것으로 판단했고, 넷백업이 HCI 환경을 완벽하게 지원한다는 점과 랜섬웨어에 대응할 수 있는 기능도 제공하는 것 역시 선택 요인이었다.

최동석 팀장은 “베리타스의 넷백업 어플라이언스는 중복제거율도 90% 가까이 나왔으며, 며칠이 소요됐던 백업 속도도 수 시간 내로 크게 단축됐다. 여기에 랜섬웨어에 대한 완벽 보호도 가능했기에 운영상 보안 수준을 크게 높였다”며 만족감을 나타냈다.

이어 “현업에서 보안 관련 예산을 확보하고 솔루션을 도입하는 것이 쉽지 않다. 넷백업 어플라이언스는 백업뿐만 아니라 랜섬웨어에 대한 대비책까지 얻게 되는 좋은 결과를 얻었다. 만약 백업 솔루션을 도입할 때 이런 부분들을 검토하면 좋은 선택을 할 수 있을 것으로 생각된다”고 전했다.