“단순 백업, 랜섬웨어 복구 중 재감염 노출… 데이터 보호전략 마련 절실”
상태바
“단순 백업, 랜섬웨어 복구 중 재감염 노출… 데이터 보호전략 마련 절실”
  • 박광하 기자
  • 승인 2023.06.26 00:45
  • 댓글 0
이 기사를 공유합니다
빔소프트웨어, ‘랜섬웨어 트렌드 리포트 2023’ 공개
▲‘랜섬웨어 트렌드 리포트 2023’ 표지. (자료:빔소프트웨어)
▲‘랜섬웨어 트렌드 리포트 2023’ 표지. (자료:빔소프트웨어)

[데이터넷] 지난 12개월 동안 85% 기업이 사이버 공격을 받았으며, 운영 데이터의 45%가 사이버 공격의 영향을 받았다. 사이버 공격의 75%는 백업 저장소에 영향을 미쳤고, 복구 중 재감염 위험에 노출된 기업들이 과반을 차지했다. 기업들은 랜섬웨어 감염으로 인한 시간적, 금전적 피해를 예방하기 위해 불변 스토리지, 단계적 복구, 하이브리드 IT 등의 기술을 활용하고 있음도 확인됐다.

빔소프트웨어는 최근 이 같은 내용의 ‘랜섬웨어 트렌드 리포트 2023’을 공개했다.

지난해에 이어 두 번째로 실시된 이번 조사 보고서는 ‘1200명의 피해자와 약 3000건의 사이버 공격으로부터 얻은 교훈’을 주제로, 사이버 공격을 경험한 기업들을 대상으로 공격에 대한 대비, 완화와 역할을 비교하는 데 목적을 두고 있다.

보고서에 따르면, 지난 12개월 동안 85%의 기업이 한 차례 이상의 사이버 공격을 경험했으며, 이는 전년도의 76% 대비 크게 증가한 수치다. 빔은 외부 리서치 기관을 통해 2022년에 랜섬웨어 공격을 한 번 이상 받은 경험이 있는 IT 리더 1200명을 대상으로 블라인드 설문조사를 실시했다.

이번 조사에는 아시아태평양, 유럽-중동-아프리카, 미주 지역 14개 국에서 다양한 규모의 기업이 참가했다.

이 설문조사에서는 랜섬웨어가 자사의 환경에 미친 영향과 앞으로의 IT 전략 및 데이터 보호 전략에 대해 질문했다. 애널리스트들은 2023년 전체 IT 지출 증가율을 4.5%(IDC)와 5.4%(Gartner) 사이로 예측한 반면, 이번 설문조사 응답자들은 자사의 2023년 사이버 보안(예방) 예산이 5.6%, 데이터 보호(복구) 예산이 5.5% 증가할 것으로 예상했다.

백업팀-사이버팀간 협력 위한 개편 필요성 대두

보고서에 따르면, 60%의 기업은 백업 팀과 사이버 팀 간의 대대적 또는 전면적인 개편이 필요하다고 응답했다. 많은 기업이 “랜섬웨어는 재해”라고 말하며 자사의 비즈니스 연속성 또는 재해 복구(BC/DR) 프로그램에 사이버 보안 계획을 포함시키지만, 팀 간의 실제 상호 작용 방식을 보면 아직 부족한 부분이 많다.

지난 2년간 이 조사에서 일관되게 나타난 결과는 사이버 이벤트의 과제에 가장 밀접한 역할을 담당하는 응답자들이 팀 간의 파트너십에 대해 낮은 만족도를 보인다는 점이다.

보고서는 “기업의 IT 백업 팀과 사이버 보안 팀 간 완전한 조정 및 협력이 이뤄지려면 어느 정도 개선이 필요하다고 생각하는가”에 대해 ‘상당한 개선이 필요함’ 43%, ‘일부 개선이 필요함’ 31%, ‘전면적인 개편이 필요함’ 17%, ‘약간의 개선이 필요함’ 7% 순으로 응답했다. 개선이 필요하지 않다는 응답자는 2%에 불과했다.

또한 “팀 간의 조정 및 협력에 ‘상당한 개선’이나 ‘전면적인 개편’이 필요하다고 생각하는가”에 대해서는 70%의 백업 관리자, 59%의 보안 전문가, 62%의 IT 운영 담당자, 51%의 CISO 또는 IT 임원이 ‘필요하다’고 답했다.

‘좋은 백업’이 사고대응, 복구전략의 기본

보고서는 사고 대응 메뉴얼 및 복구 전략의 가장 일반적인 요소는 좋은 백업이라며, 87%의 기업이 보안 로드맵의 중심이 되는 위험 관리 프로그램을 보유하고 있다고 짚었다. 하지만, 35%만이 프로그램이 잘 작동하고 있다고 생각했고, 52%는 개선을 준비하고 있었으며, 나머지 13%는 아직 프로그램조차 확립하지 않은 것으로 나타났다.

사이버 이벤트에 대한 계획을 수립하고 대처하는 방법을 준비하는 프로그램이나 팀의 명칭에 관계없이 사이버 공격에 대비하는 ‘플레이북’의 가장 일반적인 요소로는 공격으로부터 ‘생존 가능한’ 데이터를 포함하며 악성 코드를 포함하지 않는다고 가정할 만한 ‘무결한’ 백업 복사본, 백업이 복구 가능한지 반복적인 확인 등으로 나타났다.

사고 발생 전에 사고 대응 팀에 랜섬웨어 대응 플레이북이 있는지(중복 포함) 묻자, ‘백업 복사본의 무결성 보장’ 응답이 37%로 가장 많았다.

이어 ‘백업 확인 및 주기’ 36%, ‘대체 인프라(서버 및 스토리지)를 위한 준비’ 35%, 고객/외부 이해관계자 대상 커뮤니케이션 계획’ 31%, ‘법 집행 또는 타사 에스컬레이션’ 30%, ‘사전 정의된 의사 결정 지점 또는 지휘 계통’ 30%, 직원 커뮤니케이션 계획 공개/수정 29% 순이었다.

이 밖에도, ‘내부자 위협 고려 사항’ 28%, ‘격리 계획’ 23%, ‘몸값 지불 의향 및 방법’ 22% 등의 답변도 뒤따랐다.

반면, ‘사고 대응 팀 없음’ 2%, ‘랜섬웨어 플레이북이 없음’ 3% 등의 답변도 있었다. 이 같은 응답은 해당 기업에서 랜섬웨어 침해 사고가 발생했을 때 즉각적인 대응이 어려울 수 있다는 방증이다.

랜섬웨어 몸값 77%는 보험으로 지불

(자료:빔소프트웨어)
(자료:빔소프트웨어)

랜섬의 77%는 보험으로 지불됐지만, 이러한 보험 처리는 갈수록 어렵고 비싸지고 있다. 지난해에는 피해자의 96%가 보험을 통해 몸값을 지불했으며, 전체 응답자의 절반이 사이버 전용 보험을 이용했다.

랜섬웨어 피해 기업의 몸값 지불 유형으로는 ‘사이버 전용 보험’ 49%, ‘기타 보험’ 28%으로 나타났다. 반면 18%는 보험이 있음에도 사용하지 않았다.

폭우 빈도가 증가하면 홍수 보험에 가입하기가 어려워지는 것과 마찬가지로, 앞으로는 전용 보험을 사용하지 못하는 경우가 더 많아질 전망이다. 실제로 응답 기업의 21%는 현재 자사가 가입한 보험의 보장 범위에 랜섬웨어는 포함돼 있지 않다고 답했다. 사이버 보험 가입자들은 보험이 갱신됨에 따라 ‘보험료 인상 경험’ 74%, ‘공제액 증가 경험’ 43%, ‘보장 혜택 축소 경험’ 10% 등의 변화를 경험한 것으로 나타났다.

피해자의 80%가 몸값을 지불했지만 이 중 상당수가 데이터를 복구하지 못했던 사실도 밝혀졌다. ‘데이터를 복구할 수 있었기 때문에 비용을 지불하지 않음’으로 응답한 기업은 16%에 불과했다. 지난해 19%에 비해 소폭 감소한 수치다. 41%의 기업은 ‘몸값을 지불하지 않는다는’ 정책을 가지고 있는 반면, 43%의 기업은 지불 여부에 대한 정책 자체가 없었다는 점도 눈에 띈다.

몸값을 지불한 기업 중 약 4분의 1은 몸값을 지불한 후에도 데이터를 복구하지 못했다. 비트코인 등 가산자산을 공격자에게 보냈는데도 암호 해독 도구가 작동하지 않거나 아예 제공되지 않은 것이다.

운영 데이터 45%, 사이버 공격 영향 받아

(자료:빔소프트웨어)
(자료:빔소프트웨어)

설문 결과, 운영 데이터의 45%가 사이버 공격의 영향을 받았다. 이러한 수치는 지난해 47%와 대동소이한 결과이며, 이를 고려하면 향후 공격이 이와 비슷한 규모의 데이터 손실이나 영향을 초래하지 않을 것이라고 확신하기 어렵다.

평균적으로 기업들은 자사 운영 데이터의 45%가 사이버 공격의 영향을 받았다고 답했다. 양 극단을 살펴보면, 25%는 데이터의 일부(20% 미만)가 영향을 받았으며, 14%는 거의 모든 데이터(80% 초과)가 영향을 받았다.

또한 영향을 받은 데이터의 66%만 복구된 것으로 조사됐다. 이는 기업의 운영 데이터 중 15%가 영구적으로 손실됐음을 의미한다.

이와는 별도로 피해자들에게 공격 발생 전과 후의 자신감에 대해서도 질문했을 때, 59%만이 돌이켜 봤을 때 스스로 ‘준비돼 있었다’고 생각했다. 하지만 피해 결과는 크게 다르지 않은 것으로 나타났다.

사이버 공격의 75%는 백업 저장소에 영향을 미쳤다. 백업이 능사가 아니라는 점을 일깨워준다.

기업 4곳 중 1곳은 복구할 수 있는 백업을 보유하고 있었는데, 이는 기업 3곳 중 1곳이 생존 가능한 백업을 보유하고 있었던 지난해보다 감소한 수치다.

실제로 공격자들은 2022년에 최소 93%의 공격에서 백업 저장소를 표적으로 삼았는데, 이는 2021년의 94%와 거의 동일하다.

응답자들은 자사 저장소의 ‘일부(43%)’, ‘대부분 또는 전부(32%)’가 영향을 받았다고 답했으며, 평균적으로 백업 저장소의 39%가 영향을 받았다.

분류·복구까지 공격당 3주 이상 소요

(자료:빔소프트웨어)
(자료:빔소프트웨어)

랜섬웨어 공격 이후, 분류 후 복구하기까지 공격당 최소 3주가 소요됐다.

다른 재해와 마찬가지로 광범위한 IT 시스템을 복구하는 데는 상당한 시간이 걸린다. 설문조사 응답자들은 복구를 본격적으로 시작한 시점부터 복구가 완료될 때까지 3.3주가 걸렸다고 답했다.

보고서는 랜섬웨어 복구 과정에서 간과해선 안 될 점이 있다고 강조했다.

화재나 홍수 등이 발생한 경우 모두 마지막으로 알려진 백업 또는 복제본을 신뢰하고 즉시 복구를 시작할 수 있다. 반면 랜섬웨어의 경우에는 복구에 시간이 어느 정도나 걸릴지 예측할 수 없다는 문제가 있다. 감염된 서버 식별, 백업/복제본 버전의 영향 여부 또는 멀웨어 재유입 가능성 확인 등의 조건을 파악한 후에야 비로소 복구를 시작할 수 있으며, 그때부터 평균 3주 이상의 시간이 소요된다는 이야기다.

백업 유형으로는 82%가 변경 불가능한 클라우드, 64%가 변경 불가능한 디스크를 사용하는 것으로 조사됐다. 또한 2023년에도 테이프가 여전히 상당수 기업에서 사용 중이었다.

보고서는 랜섬웨어 피해자의 25% 미만이 백업 저장소가 공격자의 영향을 받지 않았다고 답했다. 이는 불변성 또는 에어 갭을 통해 백업 저장소를 악의적으로 변경할 수 없도록 한 덕분이었다.

2023년에는 백업 솔루션 중 적어도 한 티어 이상에서 불변성이 없는 기업은 2%에 불과했으며, 많은 기업이 여러 티어에 걸쳐 백업 데이터가 불변성 또는 에어 갭이 있다고 답했다. 따라서 보고서는 2023년에는 전체 데이터 보호 수명주기 동안 BC/DR 지원 클라우드나 장기 테이프 스토리지 내에서 단기 디스크를 포함한 백업 데이터의 불변성을 보장할 수 있을 것이라는 예측을 내놨다.

복구 중 재감염 노출 기업 절반 넘어

(자료:빔소프트웨어)
(자료:빔소프트웨어)

56%의 기업이 복구 중 재감염 위험에 노출돼 있다는 조사 결과는 충격적이다.

복구 시 데이터의 ‘무결한’ 상태를 보장하는 방법을 묻는 질문에 응답자의 31%는 변경 불가능한 백업 저장소를 이용한다고 답했는데, 이는 좋은 방법이긴 하지만 ‘무결한’ 데이터를 보장하지는 않는다. 이는 누수 및 변조 방지 유리병을 제공하는 것과 유사하지만, 유리병 안의 내용물이 안전하거나 독성이 없음을 보장하는 것은 아니라는 비유로 설명할 수 있다.

응답자의 44%가 운영 환경에 복구하기 전에 백업 저장소에서 데이터를 다시 검색하기 위해 샌드박스로 스테이징을 완료했다. 이는 56%의 기업이 복구 중에 무결한 데이터를 보장할 수단이 없어 운영 환경을 재감염시킬 위험이 있다는 뜻이다.

71%는 클라우드로 복구하고, 81%는 데이터 센터를 이용했다.

모든 BC/DR 전략과 마찬가지로, IT 의사 결정에 관한 중요한 질문 중 하나는 클라우드 기반 및 데이터센터 인프라를 포함해 ‘서버를 어디로 복구할 것인가’하는 것이다.

화재나 홍수의 경우 원래 데이터센터는 사용할 수 없다고 가정한다.

사이버 공격의 경우 기존 데이터센터(새 서버 구축)를 사용하거나 (와이핑된) 원래 서버를 사용할 수도 있지만, 기존 서버나 시설이 사법 기관에 압수되거나 기타 포렌식이 필요한 경우에는 사용이 불가능할 수도 있다.

2023년에 대규모 랜섬웨어 복구를 위한 가장 기대되는 대체 사이트는 클라우드 호스팅 인프라였으며, 관리형 DRaaS 플랫폼이 그 뒤를 이었다. 클라우드 저장소를 불변 복구 소스로 사용하려는 기업의 비율이 높다는 점을 고려하면 당연한 결과라고 보고서는 짚었다.

‘안전한 백업’이 랜섬웨어 피해 예방의 왕도

보고서는 화재나 홍수와 같은 자연 재해와 달리 사이버 공격은 훨씬 더 높은 확률로 발생한다며, 평균적으로 공격이 발생할 때마다 자사 운영 데이터의 15%를 잃을 수 있다는 점을 고려하면 기업들이 사이버 공격 예방에 대한 투자를 늘리고 복구 프로세스 및 기술을 대폭 강화하는 것은 당연하다고 말한다.

보고서는 “몸값을 지불하고 싶지 않다면 안전한 백업이 필수”라는 말로 보고 내용을 마무리했다.

보고서는 이번 설문조사에 포함된 1200건의 피해 사례에서 얻은 교훈을 바탕으로, 오늘날 대부분의 기업에서 랜섬웨어 공격에 대비하기 위해 사용하는 몇 가지 주요 기술을 제시했다. 디스크와 클라우드, 에어 갭 매체 내의 ‘불변 스토리지’로 데이터 복구, 복구 중 재감염을 방지하기 위한 ‘단계적 복구’ 기술 적용, 다른 BC/DR 전략과 마찬가지로 서버를 대체 플랫폼으로 복구하기 위한 ‘하이브리드 IT’ 아키텍처 도입 등이다.

앤서니 스피테리(Anthony Spiteri) 빔소프트웨어 아태지역 최고기술책임자(CTO)는 “빔소프트웨어의 백업·복구 플랫폼은 데이터 관련 검증, 백업저장소 불변화 등의 기능을 지원하고 있어 랜섬웨어 공격을 당할 경우에도 신속한 복구가 가능하다. 빔소프트웨어의 솔루션은 백업되는 복사본이 무결하다는 점을 확신할 수 있으면 추가적인 검증을 진행하지 않으므로, 복구에 소요되는 전체적인 시간을 단축해 데이터를 복구할 수 있다”고 말했다.

Tag
#빔소프트웨어
저작권자 © 데이터넷 무단전재 및 재배포 금지
박광하 기자
박광하 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사