랜섬웨어는 많은 조직에서 우려하는 주요 문제 중 하나다.

보안팀의 노력에도 불구하고 임직원 단 한 명의 실수로도 회사 내부에 랜섬웨어가 퍼질 수도 있기 때문에 특히 대응이 어렵다.

해커들은 점점 더 교묘한 기술을 더하며 진화하고 있어 안티바이러스나 EDR(엔드포인트 탐지 대응) 솔루션으로 완벽하게 방어하는 것은 불가능해지고 있다. 

더욱이 디지털 혁신을 위한 노력이 커질수록 공격 표면은 더 광범위해지고 있다. 데이터의 볼륨과 가치가 높아진 오늘날 비즈니스 회복력을 확보하는 것, 즉 시스템이 중단됐을 때 빨리 복구하는 능력이 그 어느때보다 중요한데, 이는 특정 기술, 솔루션만으로 완성되는 것은 아니며, 전문가를 영입한다고 해서 해결되는 것도 아니다.

비즈니스 회복 탄력성을 갖추기 위해서는 ▲사고 예방과 복구를 위해 노력하는 단결된 조직과 인력 ▲사고 시 즉시 복구해 비즈니스 피해를 최소화할 수 있도록 하는 적절한 프로세스와 실행시킬 수 있는 능력 ▲이를 지원할 수 있는 기술이 필요하다. 

이 3가지 요소를 제대로 맞추기 위해서는 비즈니스 로드맵을 정확하게 정해야 한다.

일정 업무에 대해 먼저 사이버 회복 탄력성 과정을 진행하면서, 지속적으로 검증하고 전사 범위로 확장해야 한다.

사이버 회복 탄력성의 3 요소 중 ‘인력’은 가장 해결하기 어려운 문제다. 최고 경영자를 포함한 임원과 모든 직원, 파트너•협력사에 대한 끊임없는 교육과 캠페인을 통해 보안 습관이 자리 잡을 수 있도록 해야 한다.

경우에 따라 개별 업무 조직의 특수성, 임직원 개인의 성향에 따라 반발이 발생할 수 있다.

이를 무시하면 나중에 심각한 부작용이 발생할 수 있다.

각 업무 조직의 책임자와 법률•컴플라이언스 조직 등을 참여시킨 TF를 통해 모든 조직과 임직원의 상황을 고려하면서, 사고 위협을 낮출 정책을 찾아가야 한다.

복구 프로세스는 각 업무와 보안에 대한 검증된 전문성을 기반으로 설계해야 한다. 사고 시스템을 즉시 격리하고 복구 프로그램을 진행하되, 어떤 시스템과 애플리케이션을 먼저 복구해야 하는지 우선순위를 미리 정해야 사고 시 혼란 없이 복구를 진행할 수 있다.

평소 사고와 복구에 대한 훈련을 정기적으로 실시하는 것이 매우 중요하다. 잘 훈련된 조직일수록 복구 성공률이 높다.

훈련 중 발견된 문제를 수정하고 개선하는 한편, 수시로 변하는 업무와 애플리케이션의 변화 내용도 복구 프로세스에 포함시켜 중요한 업무에 대한 복구 프로세스가 누락되거나 잘못된 복구 프로세스를 따라가지 않도록 개선하는 것도 중요하다.

이를 지원할 수 있는 기술의 핵심은 복구 역량이다.

IT리서치 기관 ESG(Enterprise Strategy Group)에서 IT 전문가 및 사이버 보안 전문가를 대상으로 진행한 연구결과에 따르면, 지난 12개월동안 랜섬웨어 공격으로부터 피해를 본 기업 중 대가를 지불한 후에도 모든 데이터를 복구하지 못한 기업의 비율이 85%에 달하는 것으로 조사됐다.

또 87%는 랜섬웨어 공격으로부터 데이터 백업 복사본이 감염되거나 손상될 것을 우려하고 있다고 답했다.

실제로 최근에 등장한 랜섬웨어들은 운영 서버의 데이터뿐만 아니라 백업 서버의 데이터까지도 암호화할 정도로 진화했다.

랜섬웨어에 대한 대책으로 백업 서버를 둔 기업이라면, 백업 서버를 보호하는 추가적인 대책을 세워야 한다. 

그럼에도 불구하고, 보호 스토리지에 에어갭을 적용해 랜섬웨어의 피해를 완화할 수 있는 역량을 현재 보유하고 있는 기업의 비율은 30%에 불과하다고 한다.

‘에어갭’이란 디바이스와 네트워크가 연결되어 있지 않은 상태를 뜻하는 것인데, 네트워크 측면에서 볼 때 특정 기기가 존재하지 않는 상태로 만드는 것이다.

반면, 백업을 할 때 마다 매번 네트워크를 연결하고 다시 분리하는 것은 현실적으로 불가능해, 백업에서의 ‘에어갭’은 일시적인 네트워크 분리가 아니라, 제3의 지역에 백업을 하는 것을 의미한다. 

백업 데이터를 보호할 수 있는 방안은 크게 3가지인데, 가장 기본적인 방법은 ‘테이프 백업’이다. 

디스크가 아닌 테이프에 백업을 받고, 그 테이프를 바로 꺼내어 자사 데이터 센터가 아닌 다른 공간에 보관하는 것이다.

그러나 이 방식은 다시 복구할 때 오랜 시간이 소요된다는 단점이 있다. 

두번째 방법은 클라우드 스토리지에 백업하는 것이다. 기업 내 데이터센터가 아니기 때문에 자체 운영 서버에 침투한 랜섬웨어로부터 안전하다.

많은 클라우드 서비스 기업들이 장기 보관을 위한 저렴한 비용의 서비스를 제공하고 있지만, 원활한 관리를 위해서는 자사 데이터센터에 있는 백업 서버 데이터와 클라우드에 저장된 통합 관리할 수 있는 별도의 솔루션이 필요하다.

마지막 유형은 불변성(immutable) 스토리지라고 불리는 ‘웜(WORM, Write Once, Read Many) 스토리지’에 백업하는 것이다.

위변조 불가능한 상태의 복제본을 만들어 별도의 볼트(vault, 금고)에 물리적 및 논리적으로 격리하는 방식이다.

이 데이터에 접근하려면 별도의 보안 자격 증명이 필요하고, 복구할 때에는 볼트와 운영시스템만 네트워크로 연결 후 나머지는 에어갭 상태를 유지하는데, 일련의 과정을 자동화하여 운영해 보안과 효율성을 모두 만족시킬 수 있다.

특히 공격으로 인한 피해 복구를 시작할 때 오염되지 않은 무결성 데이터로 복구해야 정상적인 비즈니스 서비스와 운영을 재개할 수 있다는 점에서 ‘사이버 볼트’는 반드시 필요하다.

중요한 데이터는 보존 기간 내 잠긴 채 변경할 수 없는 형식으로 금고 내부에서 보호되고, 이를 통해 운영 백업이 손상되거나 DR(재해복구) 위치가 침해 또는 감염된 경우에도 안전하게 복구를 수행할 수 있기 때문이다.

사이버 볼트 저장된 백업 데이터는 AI 및 머신러닝 기반의 인텔리전스를 통해 사이버 침해 또는 공격 징후를 탐지, 위협 식별된 정보를 평가 및 분석을 실시함으로써 침해 사고를 사전에 예방할 수 있다.

델의 분석 탐지 툴 ‘사이버센스(CyberSense)’는 메타데이터나 운영 체제 정보 및 파일의 전체 내용을 평가, 데이터가 부적절하게 손상됐거나 수정됐는지 확인하고, 위변조된 데이터를 분석해 이를 바탕으로 상시 모니터링 체계를 지원한다. 

데이터는 조직의 규모와 업종을 불문하고 가장 중요한 자산이다.

비즈니스 핵심 데이터를 빠르게 복구하기 위해서는 최후의 방어선을 두고 지속적으로 검증하며 사이버 회복 탄력성을 강화해야 한다. 

<글 = 윤병훈 한국 델 테크놀로지스 전무>