랜섬웨어 대응과 예방을 위한 데이터 보호(백업) 방법

그러나 이러한 저장매체를 통해 보안 백업을 구현한다고 해서 모든 준비가 끝나는 것은 아니다. IT 환경에 대한 비즈니스 의존도가 증가함에 따라 요구되는 사항으로는 바로 RTO와 RPO이기 때문이다.

Tape이나 Worm storage, Cloud와 같은 저장 매체는 저장된 데이터에 대한 접근을 통제하고 위변조를 방지할 수 있는 대안으로는 적합할 수 있으나, 현업에서의 빠른 액세스와 같은 SLA를 충족하는데 한계가 있다. 그렇다면 이러한 협업에서의 요구사항에 부합할 수 있는 보안된 백업은 무엇이 있을까?

​

1. 보호 대상과 이에 대한 이해

시스템은 보통 OS 영역과 데이터 영역으로 나뉘어진다. 과거에는 데이터에 대한 보호 방법만 고려했다면, 이제는 OS 영역에 대한 보호도 신경을 써야만 한다. 바로 RTO를 충족하기 위해서이다. 얼마나 빠르게 데이터를 복구하여 데이터에 빠르게 액세스 할 수 있는지는 IT 환경에 절대적으로 의존하는 현 시대의 가장 중요한 요소이기 때문이다.

이를 위해 클러스터 구성 등을 통해 시스템을 이중화하거나, DR 센터를 운영할 수도 있지만, 비용이 많이 투자되는 어려움이 있기 때문에 중소/중견 기업에서는 적용하기 어려운게 사실이다. 그렇기 때문에 데이터 보호를 통해 Near Zero 까지는 아니어도 최대한 빠르게 데이터를 복구 할 수 있는 방법론이 필요한것이다.

OS 영역은 일반 데이터 영역과 다르게 눈에 보여지지 않는 부분까지도 보호가 필요하다. 때문에 일반 데이터처럼 파일 기반으로 데이터를 백업하여 완벽하게 OS 영역을 보호하는데는 한계가 있다. 따라서 OS 영역에 대한 최적의 보호 방법은 바로 이미징 백업이다.

OS는 최초 OS를 설치하고, 필요한 어플리케이션을 설치하고, 이후 사용자 환경에 맞게 커스터마이징 단계가 끝나면 이후 변경사항이 거의 없다. 어플리케이션 또는 OS를 사용하면서 생성되는 로그 정도가 이후 추가되는 유일한 데이터일텐데, 이러한 로그는 굳이 보호할 필요가 없기 때문이다. 따라서 OS 영역은 약 2주~1개월 단위의 이미징 백업이 적합하다.

반면 데이터 영역은 수시로 데이터가 변경되는 특징을 가지고 있다. 이러한 영역은 CDP 기반의 실시간 데이터 보호도 좋지만, 비용적인 부분을 감안한다면 일정한 시점 단위의 스케줄링 백업이 적합하다.

데이터 영역은 사용자 PC에 있는 데이터와 서버에 저장된 데이터에 따라 보호 방법론이 달라질 수 있다. 일반적으로 사용자PC는 사용자가 필요로 하는 시간에만 On-line 상태라는 특성을 가진다. 따라서 사용자가 업무하는 시간에 맞춰서 데이터를 백업해야하는데, 이 시간이 일정할 수 없기 때문에 데이터가 변경됨과 동시에 사본을 생성하고 관리할 수 있는 CDP 기반의 보호 방법이 적합하다. 또는 문서 중앙화와 같은 솔루션을 통해 사본을 중앙 집중적으로 관리할 수도 있다.

서버 데이터는 24시간 On-line 상태이고, 오히려 업무 시간에는 사용자들의 요청에 빠르게 응답해야하기 때문에, 비 업무시간인 야간 시간대를 지정하여 백업하는 것이 좋다. 따라서 사용자 데이터와 서버 데이터는 보호 방법론이 달라질 수 밖에 없다. 물론 이 두 영역을 하나의 제품으로 보호할 수도 있겠지만, 그러한 경우 비용이 많이 발생하거나 관리에 어려움이 발생할 수 있기 때문에 여러 요소를 고려한 전략이 필요하다.

​​

2. 데이터 보호 전략

기업의 모든 데이터는 보호되어야하고, RTO 관점에서 유사시 사용자의 신속한 액세스가 가능해야한다. 이러한 관점에서 최상의 보호 전략은 무엇일까?

​

OS 영역에 대한 보호가 필요한 이유는 구성 변경(패치, 업그레이드, 어플리케이션 설치/삭제 등) 과정에서의 이슈 발생, 사용자 실수, 하드웨어 장애, 재해 상황 등에서의 빠르게 OS를 복구하여 서비스를 복구하기 위함이다. 따라서 다양한 상황에 대비할 수 있는 보호 전략이 필요하다.

기본적으로 구성 변경 과정에서 발생한 이슈에 대비하기 위해서는 백업본을 로컬 영역에 보관하는 것이 좋다. 이러한 경우는 모든 하드웨어는 정상이고, OS 영역만 빠르게 이전 상태로 되돌리기 위함이다. 따라서 가장 성능이 좋고 빠르게 액세스 할 수 있는 위치로부터 데이터를 복구할 수 있어야한다.

반면에 하드웨어 장애 상황 등에 대비하기 위해서는 사본을 네트워크 위치에 보관해야 한다. 그래야만 유사시 다른 하드웨어에 신속하게 데이터를 복구하여 서비스를 재개할 수 있다. 가능한 경우 백업된 이미지를 P2V(가상 변환)하여 유사시 가상 환경에서 곧바로 서비스를 재개할 수 있도록 유지하는 것도 좋다.

​

서버 관점에서의 데이터 영역은 네트워크상의 스토리지에 저장된 OS 백업 데이터를 모두 포함한다. 이러한 데이터들은 사용자 실수, 물리적 재해 상황, 네트워크를 통해 가해질 수 있는 보안 위협 등의 모든 상황에 대처할 수 있는 보호 방법이 필요하다.

사용자 데이터는 사용자 관점에서 CDP 기반으로 중앙 스토리지에 데이터를 집중화하고, 이렇게 모여진 데이터들과 서버 데이터들은 관리자 관점에서 중앙의 백업 장치를 통해 백업본을 관리해야한다. 백업 데이터는 막대한 데이터를 효과적으로 저장하고 사용자의 요구사항을 충족할 수 있도록 중복제거 기술이 적용된 스토리지를 사용하는 것이 좋다. 그리고 랜섬웨어와 같은 보안 위협에 대비하기 위해 Tape으로 사본으로 관리하거나, Cloud Object Storage 등에 사본을 관리해야한다. 단순히 1차 저장장치인 Disk에만 백업본을 저장하는 것은 랜섬웨어의 표적이 될 수 있기 때문이다. 이렇게 생성된 사본은 DR 등의 소산 목적으로도 활용이 가능하다.

만약 별도의 Tape 또는 Cloud 까지 관리하는 것이 어렵거나 현실적이지 못하다면, 어플라이언스 형태의 제품을 고려해보는것도 좋다.

일반적으로 백업 서버에 OS를 설치하고, 백업 S/W를 설치하여 사용하는 형태를 BYO(Build Your Own) 구성이라고 하는데, 이러한 방식은 OS 영역을 통해 공격하는 랜섬웨어로부터 백업 서버 자체를 지켜내기 위한 고민을 해야한다. 그래야만 유사시 데이터를 복구할 수 있고, 백업 데이터까지도 안전하게 지켜낼 수 있기 때문이다. 그러나 과연 어떤 사용자가 보안위협으로부터 100% 안전한 백업 시스템을 스스로 구현할 수 있을까?

우리가 시스템을 보호하기 위해 가장 선호하는 방법중 하나는 백신 소프트웨어이다. 백신 소프트웨어는 이전에 알려진 패턴을 기반으로 랜섬웨어를 차단할 수 있지만, 신종 또는 APT 형태의 랜섬 공격까지 막아낼 수는 없다. 그래서 일부는 랜섬웨어 방어 솔루션이라는 제품을 사용하기도 한다. 그러나 필자는 최근 이러한 랜섬웨어 방어 솔루션으로 인해 오히려 피해가 더 커졌던 사례를 목격한적이 있다. 좀더 자세하게 설명하자면, 보통의 랜섬웨어 방어 툴의 경우 행위 분석 등의 방법을 통해 랜섬웨어 감염이 의심 되는 경우 대상 파일의 스냅샷을 생성하고, 이후 파일이 감염되면 감염된 파일을 삭제하고 스냅샷 본으로부터 해당 파일을 자동으로 복구해주는 역할을 수행한다. 그러나 삭제만 하고 데이터를 복구하지 못했던 실 사례가 있다. 랜섬웨어 방어툴도 모든 랜섬웨어를 막아낼 수는 없다는 것이다.

과기부에서는 매년 국내 정보보호 실태조사라는 조사결과 리포트를 발표한다.해당 자료는 정보통신산업진흥원 웹페이지에서도 다운로드할 수 있다.

​

https://www.msit.go.kr/cms/www/open/go30/publicInfo/info/info_4/info_41/__icsFiles/afieldfile/2019/01/31/2018%20국내%20정보보호산업%20실태조사%20보고서_최종본_0130.pdf

​

위 자료를 보면, 이번 조사 자료부터 랜섬웨어에 대한 섹션이 추가되어있고, 여기에서 다양한 랜섬웨어 대응 기술을 소개한다. 일반적으로 백신, 문서중앙화, 행위기반 솔루션, 네트워크 망분리, 백업 등의 기술들을 소개하는데 결론은 어떤 기술도 랜섬웨어로부터 완벽할 수 없다는 것이다. 그래서 추천하는 것이 바로 보안 백업이다.

보안 백업이란 앞서 언급한 것처럼 백업 된 데이터에 대한 접근 차단, 위변조 방지 등의 기술 적용을 뜻한다. 그러나 이것을 온라인으로 수행하는 경우 100% 안전할 수 없으니 백업 데이터의 off-line 유지를 권고한다. 그러나 이것은 현실적이지 못한 후퇴한 방법인 것이다.

그렇다면 최근 IT 환경에서의 요구사항에 부합하는 현실적인 방법은 무엇일까? 바로 어플라이언스 형태의 제품으로 데이터를 백업하고 관리하는 것이다. BYO 형태의 백업 환경에서는 사용자 스스로 백업 서버에 대한 보안성을 장담할 수 없기 때문에 선택의 여지가 없이 반듯이 Tape이나 Cloud 또는 오프라인 형태로 사본을 관리해야만 한다. 그러나 어플라이언스(PBBA; Propose Backup Built-in Appliance) 형태의 제품은 백업 서버와 백업 저장장치, 백업 S/W 등의 모든 구성요소를 단일 벤더를 통해 공급받기 때문에, 해당 제품에 대한 보안성 까지도 어플라이언스 벤더를 통해 제공 받을 수 있다.

최근 다양한 형태의 어플라이언스 제품이 많이 출시되고 있지만, 단순히 이러한 구성 요소를 하나로 통합 시킨 어플라이언스가 아닌, 보안성 까지도 제공되는 어플라이언스인지 여부를 따져볼 필요가 있다.

필자가 생각하는 어플라이언스의 요건은 다음과 같다.

​

1. S/W 및 H/W 전체가 단일 벤더를 통해 공급되는 제품

2. 자체 OS를 비롯한 모든 구성요소에 대하여 단일 벤더를 통해 통합 기술지원이 이루어지는 제품

3. 일반 백업 뿐만 아니라 보안 백업 까지도 제공되어 일반재해와 보안재해 등의 모든 상황에 대응할 수 있는 제품

​

최근 랜섬웨어 이슈가 뜨겁다보니 기존 백업 솔루션들에서도 랜섬웨어에 대응할 수 있는 다양한 기술들을 제공하고 있는것이 사실이다. 그럼에도 불구하고 왜 어플라이언스 형태의 제품을 권장하는지 의아할 수 있다.

랜섬웨어는 일반적으로 데이터를 암호화 시킨다. 이러한 경우 백업 본으로부터 데이터를 복구시키면 된다. 이정도가 일반적으로 알고 있는 랜섬웨어에 대한 대안이다. 그러나 2013년 3.20 상태, 2016년 산타나 랜섬웨어, 2017년 페트야 랜섬웨어 같은 경우는 MBR 영역을 암호화하여 시스템 부팅 자체를 막기도 한다. 하지만 Hidden partition 등에 백업하거나, 랜섬웨어 피해 발생 시스템과의 Agent 통신을 차단하거나, 백업 S/W 실행파일 데몬을 이중화하는 것과 같은 방식은 이러한 공격까지 대응하기 힘들다. 랜섬웨어는 OS와 네트워크 레벨에서 취약점 등을 찾아 전파되는게 일반적이기 때문이다. 만약 이러한 공격이 백업 시스템을 대상으로 진행 된다면 어떻게 될지 생각해 봐야 하는것이다.

백업은 어떠한 상황에서도 데이터를 복구 할 수 있어야 한다. 최근 랜섬웨어는 백업 서버 자체를 무력화시키는 형태를 보이고 있기 때문에, 백업 서버 자체에 대한 보안성 확보가 시급한 이유이다. 만약 스스로 백업 서버에 대한 보안성을 책임질 자신이 없다면 어플라이언스와 같은 기성품(?)을 고려해보자.

​
​

3. 마무리

어플라이언스 제품은 BYO 형태와 비교 했을 때 다소 초기 도입 비용(TCO)이 높을 수 있다. 그러나 장기적인 관점에서 비교해보면 결고 어플라이언스가 비싸지만은 않다. 그럼에도 어쩔 수 없이 BYO 형태의 백업 환경을 유지해야 한다면, 앞서 언급한 보안성을 고려한 백업 전략이 필요하다.

오래전부터 이야기해온 백업의 황금율 법칙(3:2:1) 이라는 것이 있다. 백업은 3벌(3 copy)을 수행하고, 그 중 2벌(2 copy)은 서로 다른 방법으로, 그리고 그 중 1벌(1 copy)은 원본과 다른 위치에 보관하라는 것이다. 백업이라는 과제가 체계적으로 갖춰진 환경/기업 이라면 가능한 일 일수도 있지만, 일반적인 상황에서는 이러한 법칙을 지키기 어려운게 현실이다.

IT 환경, 특히 백업을 운영해본 사람이라면 알고 있는 상식중 하나가 "운영에 실패해도 백업에는 실패하면 안된다"이다. 철저한 백업 전략만이 다양한 위협으로부터 데이터를 안전하게 지켜낼 수 있는 유일한 방법인것이다.

랜섬웨어에 효과적으로 대응하는 방법은 완벽한 백업이다. 더이상 소 잃고 외양간 고치는 일을 반복하지 않기를...