지능형 위협 방어 기술과 여러 백업 시스템 갖춰야
[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>
국내 랜섬웨어 사고 중 43% 백업파일까지 감염
랜섬웨어 피해 예방을 위해서는 백업이 최우선이다. 그러나 랜섬웨어 공격자들은 가장 먼저 백업 데이터를 삭제하기 때문에 백업에만 의지할 수는 없다. 빔 소프트웨어 조사에 따르면 랜섬웨어 93% 이상이 백업 데이터를 공격했고, 75%는 공격에 성공해 피해 복구 능력을 약화시켰다. KISA ‘2023년 상반기 주요 사이버위협 동향’에서도 국내 랜섬웨어 피해 사고 중 백업파일까지 감염된 비중이 지난해 상반기 23.1%에서 올해 상반기 42.9%로 크게 늘었다.
KISA가 설명한 백업 서버로 침투하는 공격 사례를 보면, 공격자가 기업 서버에 침투한 후 서버에 존재하는 여러 설정을 분석해 백업서버 존재 여부를 확인한다. 서버에서 수집한 관리자 계정 등의 정보를 이용해 백업 서버에 침투한 후 백업 데이터를 암호화한다. 백업 서버가 네트워크에 상시 연결돼 있고, 일반 서버와 동일한 백업서버 관리자 계정을 사용해 공격하기 쉬웠다.
빔 소프트웨어 조사에서는 백업 데이터부터 파괴하는 랜섬웨어 공격으로 인해 피해조직의 80%는 몸값을 지불해야 했다고 밝혔다. 조사 대상 기업 중 몸값 지불 금지 정책을 시행하는 곳이 41%에 달했는데도 돈을 줄 수밖에 없었던 것으로 보인다. 몸값을 지불한 기업의 21%는 여전히 데이터를 복구하지 못했고, 59%의 기업들은 몸값 지불 후 데이터를 복구할 수 있었다. 백업을 통해 데이터를 복구했던 기업은 전체 응답자의 16%였다.
랜섬웨어에 대응하기 위한 백업은 3-2-1 정책을 기본으로 한다. 3개의 데이터 사본을 만들고, 2개의 사본은 서로 다른 미디어 장치에 로컬 저장하며, 나머지 1개는 클라우드 백업소프트웨어의 오프사이트 솔루션에 저장하는 것을 말한다.
이 때 반드시 백업 서버를 네트워크에서 분리하고, 관리자 계정을 다르게 하며, 백업 시에만 네트워크에 연결하고, 중요한 데이터는 WORM 스토리지 등 불변 스토리지에 보관해 무단 암호화를 막아야 한다. 정기적으로 백업 데이터의 정합성과 무결성을 확인하고 복구 훈련을 해 사고 시에도 비즈니스 연속성을 유지해야 한다.
또한 랜섬웨어 공격을 당한 후 복구 과정에서 다시 오염되는 사례가 빈번하게 발생하기 때문에 이를 막을 수 있도록 복구 프로세스에 데이터 감염 여부를 반드시 확인해야 한다.
APT 방어 백업으로 ‘제로 랜섬 리커버리’ 보장
랜섬웨어 대응 백업 정책에서 매우 중요하게 고려해야 할 사실이 백업 서버를 타깃으로 하는 지능형 공격을 차단해야 한다는 점이다. 공격자는 APT 기법을 이용해 백업 서버의 계정을 탈취하고 시스템을 무력화하는데, 공격 시도를 선제적으로 차단하기 위해 백업 서버 권한 계정을 철저하게 관리하며, 백업서버에서 일어나는 행위를 모니터링해 이상행위를 차단해야 한다.
베리타스가 APT 방어 기능을 접목한 백업·복구 인프라로 ‘제로 랜섬 리커버리’를 보장하고 있다. 베리타스의 백업 솔루션은 보안에 강한 전용 OS ‘VxOS’를 탑재해 상용 OS의 취약점을 악용하는 공격을 원천 차단한다. 또한 미리 정의된 정상적인 백업 프로세스 외에는 어떤 행위도 허용하지 않아 관리자 권한을 탈취한 공격자가 백업 데이터를 무단으로 삭제하거나 암호화하지 못하게 한다.
모든 백업 프로세스는 최소권한원칙에 따른 제한된 권한을 적용해 공격이 확산되지 못하도록 하며, 자체 IDS/IPS와 멀웨어 스캐닝 기능 탑재로 공격을 선제적으로 차단한다. 위변조불가한 불변(WORM) 스토리지와 백업에 필요한 구성 요소를 통합한 독립형 올인원 백업 어플라이언스로 랜섬웨어가 주센터와 DR 센터를 동시에 공격하거나 백업 데이터와 시스템을 직접 공격하는 시도도 차단한다.
베리타스코리아 CTO인 김지현 전무는 “백업은 매일 일어나기 때문에 상시 일어나는 정상적인 백업 행위가 아닌 비정상 행위가 발생하면 즉시 알아차릴 수 있다. 베리타스는 AI를 이용해 더 정교하게 진행되는 비정상적인 행위를 감지하고 피해가 발생하기 전에 조치해 백업 시스템을 먼저 파괴하는 랜섬웨어의 선제 차단을 진행한다”고 말했다.
한편 국내 자동차 부품 제조사 경창산업은 수년간 여러 차례 랜섬웨어 공격을 당했는데, 베리타스 넷백업 솔루션을 이용한 빠른 데이터 복구로 피해를 최소화할 수 있었다. 바이오 벤처 노을은 혹시 모를 공격에 대비하고 IP를 보호하며 대규모 장애 시에도 다른 지역에서 즉각 복구가 가능하도록 넷백업 어플라이언스와 자동 이미지 복제(AIR) 기능을 사용하고 있다.
에어갭 사본 추가한 3-2-1-1-0 백업 전략 필요
WORM 스토리지를 사용하는 ‘변경불가 백업’은 빔 소프트웨어가 가장 강력하게 주장하고 있는 것으로, 중요 데이터에 대한 암호화 시도를 원천 차단해 보호할 수 있다. 또 빔 소프트에어는 복구 작업 시 랜섬웨어를 탐지하고 백업 이후에도 비정상적 삭제 또는 파손을 차단하는 변경불가 기능을 제공해 랜섬웨어에 대한 강력한 보호를 지원한다. OS와 DB를 통합 백업하고 복구할때 OS와 DB를 분리, 부분 또는 함께 묶는 다양한 방법으로 복구할 수 있다.
빔 소프트웨어는 3-2-1 정책을 강화한 3-2-1-1-0이 필요하다고 강조한다. 오프라인 또는 에어갭 사본을 추가하는 것으로, 물리적으로 격리되거나 변경 불가능한 오프라인 저장소에 백업하며, 자동 백업 테스트, 복구 검증 후 오류 없음을 확인해야 한다는 설명이다.
빔 소프트웨어는 국내 유수의 제조사가 랜섬웨어로 전사 서비스가 중단되는 장애를 겪었는데, 빔 소프트웨어를 통해 피해가 재발하는 것을 막을 수 있었다고 설명한다. 빔 소프트웨어는 백업, 아카이브, 복구에 대한 SLA를 이 고객에게 제공했으며, 고객은 데이터 백업, 복구, 보존 목표를 달성할 수 있었다. 추가로 백업 데이터를 클라우드로 자동 소산 및 DR을 확장해 데이터 센터에 대한 재해 상황에 대한 위험을 최소화하고 규정을 준수할 수 있게 됐다.
김기훈 빔 소프트웨어 한국 지사장은 “‘데이터 백업과 복제’는 랜섬웨어 공격의 최후의 보루이며, 기업의 정보 보안·비즈니스 연속성에 대한 포괄적인 접근 방식의 일부가 돼야 한다”며 “빔 소프트웨어는 기술 인프라와 통합해 실시간 모니터링, 의심 증상에 대한 경고, 자동화된 문제 해결 등의 사전 예방형 모니터링·분석 기술을 적용했고, 최신의 전반적인 복구 계획이 수립될 수 있는 솔루션인 오케스트레이션 복구를 통합해 자동화된 테스트, 문서 자동화, 원 클릭 복구를 제공하고 있다”고 말했다.
