[기고] 당신 기업의 랜섬웨어 대비 백업/복원 전략은 어떻습니까?
[IT동아]
시간이 지나도 랜섬웨어 바이러스는 여전히 기승을 부리며 다양한 종류로 확장되고 있다. 전 세계 소/중/대기업은 물론이고 스타트업 또는 소형 매장과 그 정보 시스템 등에 이르기까지, 조직 형태나 규모와 무관하게 램섬웨어 공격으로 크고 작은 영향을 받을 수 있다.
이스라엘 정보보안 업체 '체크포인트(Check Point)' 보고서에 따르면, 2020년 3분기에 전 세계 랜섬웨어 공격이 50% 증가했으며, 매일 평균 공격 횟수도 상반기 대비 50% 증가했다. 또한 10초마다 새로운 피해자가 발생하고 있다는 결과를 보면, 데이터 및 정보 보안에 대한 위협이 날이 갈수록 심화되고 있음이 분명하다.
보안 전문가들은, 안전 예방책을 미리 수립하거나 재난 발생 시 비상 대응을 수행하는 절차는 이제 기본이고, 사전 백업 메커니즘을 구축하는 것이 재난 예방에 유일한 방법이라 조언한다. 데이터를 사전 백업해 두면 만약 기업의 중요 데이터가 랜섬웨어로 암호화되더라도 업무 진행에 지장이 없는 정상 파일이 따로 존재하기 때문이다.
데이터 백업 전략 수립 단계
현재 대부분의 기업은 데이터 백업과 관련해 여러 문제에 직면해 있다. 기업 내 IT 담당자가 기존 백업 전략을 계획하거나 재검토하려 한다면, 우선 데이터를 포괄적으로 정리한 다음 백업할 데이터의 내용과 범위를 확인하는 절차가 권장된다.
가장 먼저, 데이터가 사용되는 환경을 점검한다. 기업의 IT 환경이 다양, 복잡해짐에 따라 현재 대부분 기업은 이미 물리적 클라우드나 가상 또는 하이브리드 환경을 구축했다. 이에 기업 IT 담당자는 물리적, 가상 및 클라우드 등의 여러 플랫폼에 대한 백업 작업을 고려, 관리해야 한다. 따라서 백업 전략 수립 전에 기업에 중요한 백업 자료가 서버나 PC, 노트북, 기타 물리적 장치, 클라우드 플랫폼, 가상머신 등 어느 환경의 어느 기기/장비에서 사용되고 있는 지를 조사해야 한다. 더불어 백업해야 할 장치 수량도 정확히 파악해야 한다.
다음으로, 데이터의 중요도를 점검한다. 기업 내 유지 관리에 사용할 서비스를 비롯해, 중요도가 가장 높아 백업 우선 순위에 둬야 하는 데이터를 포괄적으로 체크해야 한다. 예를 들어, 핵심 서비스 운영에서 사용되는 파일 서버, ERP 시스템, 인사 시스템, 핵심 서비스 등의 가상머신 또는 실제 서버, 관리자/관리그룹의 PC도 이에 포함된다. 정기 백업 스케줄 매커니즘을 설정하고, 운영 서비스 중요도에 맞는 RTO(Recovery Time Objective, 복구 시간 목표)와 RPO(Recovery Point Objective, 복구 시점 목표)를 세워야 한다.
데이터는 일반적으로 '콜드 데이터' 또는 '핫 데이터'로 구분할 수 있는데, 그 구분 기준은 데이터 접근 빈도가 된다. 즉 ERP 시스템이나 메일 시스템, 파일 서버 등은 대부분 핫 데이터에 속한다. 이들 시스템은 모든 직원이 매일 접근해야 하며, 데이터 양도 계속 변경되기 때문이다. 이에 비해 기업 내 영상 감시 시스템 등은 이미지 데이터를 매일 백업하긴 하지만, 특정 이슈가 발생하지 않으면 따로 접근할 필요가 없어 콜드 데이터로 분류된다.
백업 소스 플랫폼, 장치 및 데이터의 중요도를 점검한 후, 각 자료에 따라 백업 빈도, 백업할 버전 개수, 백업 대상 장치 등을 구성하면 된다. 예를 들어 핫 데이터와 콜드 데이터는 서로 다른 백업 장치로 분리 백업하는 게 바람직하다. 핫 데이터는 입출력 성능이 높은 백업장치에 백업하되, 콜드 데이터에는 그보다는 낮은 입출력 성능의 백업장치에 백업해도 괜찮다. 기업 내 스토리지 용량이 충분한지 체크하는 시점도 이때다.
'3-2-1 백업 전략'
데이터 확인이 완료되면 현재 구축된 백업 장비가 위의 요구 사항을 충족하는지 점검한다. 해당 백업 계획의 초안을 추가 작성한 후 예상 예산으로 감당할 수 있는 지도 확인해야 겠다.
백업 계획 구축의 원칙으로 '3-2-1 백업 전략'을 따르길 제안한다. 3-2-1 백업 전략은 중요 파일은 '3개의 복사본'으로 유지하고, '2종의 다른 형식'으로 저장하는 것이다. 또 중요 데이터의 다중 버전 백업을 만들어 놓고, 로컬 저장장치와 외부 저장장치, 공용 클라우드 공간 등으로 백업할 수 있는 백업 패키지를 고려하길 권장한다. 여러 버전의 백업을 저장할 수 있는 충분한 공간을 확보해 두면, 데이터의 다중 보호 조치를 개선할 수 있다.
예를 들어, 직원들이 매일 접속하는 파일 서버를 백업한다면, 스냅샷 기능을 통해 로컬 NAS 장비에 다중 버전 백업을 저장한 다음, 스냅샷 파일을 원격 NAS 장비에 복사해 두는 것이다. 세 번째 데이터 백업은 중복 압축 및 암호화 기술 등을 적용해 공용 클라우드 공간에 백업하면 된다.
이 같은 정기 백업 외에도, 랜섬웨어에 직면할 때 유의해야 할 점이 하나 더 있다. 오프라인 백업도 유지해야 한다는 것이다. 현재 확산되고 있는 변종 랜섬웨어는 접근 가능한 파일은 물론, 백업 데이터까지 삭제하려 시도하고 있다. 일부 맬웨어는 백업 파일을 다시 암호화하기도 한다. 따라서 네트워크에 연결되지 않은 오프라인 데이터 백업을 보유해야 하고, 암호화하는 절차도 고려해야 한다.
백업 시나리오 사례로 살펴보자. 매일 정오와 오후 5시, 6시에 각각 스냅샷 복제 예약된 경우, 만약 오후 1시 즈음 랜섬웨어 바이러스가 발견된다 하더라도 정오에 백업한 정상 버전으로 복원하면 된다. 혹은 그 동안 원격 백업을 충실히 수행하고 있었다면, 사내 전산실에 일시 장애가 발생하더라도 보조 서버가 백업 파일을 넘겨 받아 지속 운영함으로써 서비스 중단 사태를 방지할 수 있다.
백업 데이터 관리와 재해/장애 복구 시연
백업 전략만큼이나 백업 관리도 중요하다. 백업 소프트웨어는 통합 관리 인터페이스를 제공하고, 데이터 보호 정책에 따라 백업 리포트를 생성해 추후 기록 추적 및 관리가 가능한 것이라야 한다. 이를 테면, 데이터 백업 작업을 모니터링하면서 비정상적인 상황이나 동작을 감지하면 경고/주의 알림을 보내거나, 추후 정보보안 감사를 위해 관련 부서에게 데이터를 제공할 수 있어야 한다.
데이터 복구/복원에도 데이터 무결성이 매우 중요하다. 다중 버전/다중 목적지 데이터 백업 계획 구축과 함께, 정기적인 백업 상태 점검, 복원 또는 무결성/가용성 테스트가 반드시 필요하다. 재해 복구 메커니즘을 정기적으로 점검하고, 복구 모의 훈련도 실시하길 권장한다.
끝으로, 나날이 발전하는 변종 랜섬웨어에 대비하려면 백업 유연성을 유지하고, 불의의 사태에 대응할 방법을 마련해야 한다. 정리하면, 정기적으로 파일 백업을 수행하는 것이 중요 데이터를 보호하는 가장 기본적이고 적극적인 조치다. 먼저 기업 내 데이터를 포괄적으로 확인한 후에, 3-2-1 백업 전략을 토대로 사내 환경에 가장 적합한 데이터 백업 및 복원 전략을 수립하길 제안한다. 이후 재해/장애 시연을 사전 실시해, 랜섬웨어 문제 직면 시 즉각 대처가 가능하도록 대비한다.
글 / 시놀로지 세일즈 디렉터 조앤 웡 (Joanne Weng)
정리 / IT동아 이문규 (munch@itdonga.com)