Quick Overview 데이터 보호 및 백업 전략을 갖추는 것은 비즈니스의 장기적인 성공을 보장하는 핵심 요소입니다. 랜섬웨어 공격을 받더라도 데이터를 백업하고 백업을 보호하면 충분히 복구할 수 있으며, 복구 시간과 몸값 지불을 방지할 수 있습니다. 여기서는 백업 데이터 자체를 보호하는 전략을 소개합니다. |
랜섬웨어 공격을 받더라도 데이터를 백업하고 백업을 보호하면 충분히 복구할 수 있습니다. 랜섬웨어로부터 백업을 보호하기 위한 전략은 크게 11가지가 있습니다. 1부에서 소개한 가장 중요한 2가지 전략은 ‘데이터 복사본 여러 개 유지’, ‘전체/차등/증분 백업 사용’입니다. 2부에서는 나머지 9가지 방법을 알아봅니다.
3. 백업 작업과 액세스의 분산
랜섬웨어가 백업에 접근하지 못하도록 하는 대표적인 방법은 랜섬웨어가 다양한 유형의 데이터 간에 이동하지 못하도록 하는 것입니다. 다양한 종류의 데이터에 대해 여러 개별적인 백업 시스템으로 백업 작업을 분산하는 방법을 고려하십시오. 또한 백업 관리자의 역할도 다양한 IT 담당자에게 분산해서 한 명의 관리자가 모든 백업에 대한 액세스 권한을 갖는 일이 없도록 하십시오. 예를 들면 다음과 같습니다.
데이터베이스 관리자(DBA)는 데이터베이스 백업만 담당합니다.
데이터베이스가 다른 모든 데이터 저장소와는 별개로 백업됩니다.
데이터베이스가 특정 사이트 또는 클라우드 스토리지 계정으로 백업됩니다.
시스템 관리자는 다른 사이트 또는 클라우드 계정으로 파일 서버를 백업합니다.
데스크톱 및 노트북은 자체 클라우드 계정에 개별적으로 백업됩니다.
분산된 방식은 랜섬웨어가 발생하는 사이트와 계정의 수를 제한하므로 랜섬웨어로부터 백업을 보호하는 데 도움이 됩니다. 한 명의 사용자가 모든 백업에 대한 액세스 권한을 갖는 경우를 방지하면 랜섬웨어 공격이 모든 백업을 감염시킬 위험이 낮아집니다.
4. 백업 소프트웨어 및 저장소에 대한 액세스 제한
마찬가지로, 백업 콘솔 및 저장소에 대한 액세스도 제한하십시오. 여러 백업 관리자 역할을 생성한 다음 각 역할에 서로 겹치지 않도록 특권을 부여하고 책임을 할당하면 됩니다. 예를 들어, 여러 역할에 다음과 같은 주요 책임을 할당할 수 있습니다.
5. 백업, 백업 계획의 에어 갭
랜섬웨어 공격을 받게 되면 보통 감염되지 않은 백업에서 복원을 시도하게 됩니다. 그러나 랜섬웨어 공격자는 여러분이 그렇게 할 것임을 알고, 연결 가능한 모든 백업을 찾아서 파괴하도록 코드를 작성합니다. 직접 데이터를 복원하지 못하도록 해야 몸값을 받아낼 수 있기 때문입니다.
따라서 랜섬웨어로부터 백업을 보호하기 위해서는 공격이 영향을 미칠 수 없는 곳에 백업을 보관하는 것이 중요합니다. 이는 내부 네트워크와 인터넷에서 모두 접근할 수 없는, 연결되지 않은 오프라인 장소를 의미합니다.
에어 갭 백업에서는 디스크와 같은 이동식 미디어에 데이터를 저장해서 백업 시 오프사이트에 데이터를 저장할 수 있도록 합니다. 이렇게 하면 네트워크와 백업 간에 말 그대로 에어 갭(air gap), 즉 공극을 둘 수 있습니다. 물론 에어 갭은 백업과 복구 두 가지 측면에서 모두 불편하고 비용도 증가시킵니다. 사실 에어 갭을 적용할 경우 데이터를 검색하고 전송하고 마운트하고 읽기까지 오랜 시간이 걸리므로 랜섬웨어 공격으로부터의 복구 속도가 크게 느려질 수 있습니다.
대안은 무엇일까요? 신뢰할 수 있는 제공업체의 클라우드에 백업을 저장하는 방법이 있습니다. 더 쉬우면서도 여전히 오프사이트 조건을 만족할 수 있습니다. 또한 클라우드 백업은 필요한 경우 다양한 위치로 복구하고 랜섬웨어 복구 속도를 높일 수도 있습니다.
참고로 클라우드 스토리지를 사용한다면 백업 데이터가 내부 네트워크를 벗어나기 전에 데이터를 암호화해야 합니다.
6. 변경 불가 스토리지로 데이터 백업 강화
WORM(Write-Once Read-Many) 스토리지, 다른 이름으로 변경 불가 백업 스토리지에 백업 데이터 복사본을 저장하십시오. 이 유형의 스토리지 미디어는 데이터의 수정 또는 삭제를 차단함으로써 랜섬웨어 복구 과정에서 유용한 역할을 합니다. 물론 데이터 보존 계획에서 삭제 날짜를 설정할 수 있습니다. 데이터가 WORM 미디어에 작성되면 랜섬웨어라도 해도 해당 데이터를 편집, 삭제하거나 암호화할 수 없습니다.
7. 자동화
백업을 만들 때나 백업에서 복원할 때나 수동 절차는 시간이 많이 걸리고 부정확하며 결함을 유발할 수 있습니다. 백업은 누가 휴가를 떠나든, 또는 IT팀이 다른 어떤 일에 집중하고 있든 관계없이 정기적으로 정확하게 수행해야 합니다.
프로세스 자동화는 재해 복구에 중요하며, 시스템이 정상 작동하지 않는 동안 시시각각 금전적 손실이 발생하는 경우 특히 더 중요합니다. 가트너는 ‘복원 vs. 재구축 – 랜섬웨어 공격 이후 애플리케이션 복구를 위한 전략(Restore vs. Rebuild— Strategies for Recovering Applications After a Ransomware Attack)’에서 “조직이 수동 프로세스와 절차에 의존해야 하는 경우 영향을 받는 시스템의 즉각적인 복구가 불가능하다”라고 경고했습니다.
8. 백업 빈도 증대
랜섬웨어 공격이 발생한 이후 신속하게 복구하고 가동하기 위한 핵심은 전체 백업을 자주 수행하는 것입니다. 최대한의 보호를 위해서는 모든 변경과 업데이트, 추가 사항을 포함한 모든 데이터를 매일 백업하는 것이 최선입니다. 전체 백업을 충분히 자주 수행하지 않으면 데이터 복구에 더 오랜 시간이 걸리고 복구 지점 목표(RPO)를 충족하지 못하게 됩니다.
성공적인 복구를 위해서는 시스템이 안전했던 시점으로 복원할 수 있도록 비교적 최근에 수행된 전체 백업이 필요합니다.
9. 지속적인 모니터링
지속적인 모니터링을 통해 시스템에서 작은 변화가 발생하는 즉시 파악할 수 있습니다. 랜섬웨어가 네트워크에 침입할 기회를 포착하기 전에 감염된 디바이스를 격리, 통제 및 교정하기도 더 쉬워집니다. 시스템을 드문드문 스캔하면 뒤늦게 랜섬웨어를 발견하게 될 위험이 커집니다.
10. 다중 요소 인증 사용
다중 요소 인증(Multi-factor Authentication, MFA)은 관리자 계정에 필수적입니다. MFA를 적용하면 승인된 사용자든 불법적 사용자든 사용자 이름과 비밀번호 외에 부가적인 자격 증명을 입력해야 합니다. 정책과 작업을 수정하거나 기존 백업을 삭제하기 위해 백업 콘솔에 침투하려고 시도하는 공격자에게 이는 큰 장애물이 될 수 있습니다. 백업 저장소가 다른 콘솔에서 실행되는 시스템에 위치하는 경우에도 MFA는 유용합니다.
11. 백업 전략을 AD로 확장
파일 시스템 및 데이터베이스와 같은 데이터를 백업하고 복구할 수 있는 역량을 갖추는 것은 중요합니다. 그러나 윈도우 네트워크에서 재해 이후 모든 데이터를 활용하기 위해서는 액티브 디렉토리(Active Directory, AD) 인스턴스가 필요합니다.
예를 들어 세계적인 해운 기업 머스크(Maersk)는 낫페트야(NotPetya) 맬웨어에 감염되었을 당시 대부분의 데이터에 대한 백업을 갖고 있었지만, 최근 시점의 AD 백업이 없었습니다. AD를 처음부터 다시 구축해야 하는 상황에 직면했던 머스크는 다행히도 다른 지역에서 오프라인 도메인 컨트롤러 하나를 발견해서 이를 백업으로 사용했습니다.
AD 백업 및 복구는 간단한 프로세스가 아니므로 제어, 유연성, 자동화를 제공하는 소프트웨어를 선택해야 합니다. 도메인 컨트롤러를 되돌릴 때 감염이 다시 유입되지 않도록 맬웨어가 숨을 수 있는 위치를 제한해야 합니다.
결론
랜섬웨어 공격은 발생할지 여부가 아니라 ‘언제 발생하는가’의 문제입니다. 끝없는 경계 외에는 랜섬웨어 공격을 막을 뾰족한 방법이 거의 없습니다. 그리고 공격이 재앙으로 번지는 것을 막기 위해 할 수 있는 유일한 일은 백업을 랜섬웨어로부터 보호하는 것입니다.
이런 기법은 모든 현명한 IT 그룹의 툴킷에 포함되어 있습니다. 백업을 랜섬웨어로부터 보호하기 위한 위의 방법에 따른다면 랜섬웨어 위협을 차단하기 위해 할 수 있는 거의 모든 조치를 취하는 것입니다. 백업 관리에 어려움을 겪고 계시거나 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
Quick Overview
데이터 보호 및 백업 전략을 갖추는 것은 비즈니스의 장기적인 성공을 보장하는 핵심 요소입니다. 랜섬웨어 공격을 받더라도 데이터를 백업하고 백업을 보호하면 충분히 복구할 수 있으며, 복구 시간과 몸값 지불을 방지할 수 있습니다. 여기서는 백업 데이터 자체를 보호하는 전략을 소개합니다.
랜섬웨어 공격을 받더라도 데이터를 백업하고 백업을 보호하면 충분히 복구할 수 있습니다. 랜섬웨어로부터 백업을 보호하기 위한 전략은 크게 11가지가 있습니다. 1부에서 소개한 가장 중요한 2가지 전략은 ‘데이터 복사본 여러 개 유지’, ‘전체/차등/증분 백업 사용’입니다. 2부에서는 나머지 9가지 방법을 알아봅니다.
3. 백업 작업과 액세스의 분산
랜섬웨어가 백업에 접근하지 못하도록 하는 대표적인 방법은 랜섬웨어가 다양한 유형의 데이터 간에 이동하지 못하도록 하는 것입니다. 다양한 종류의 데이터에 대해 여러 개별적인 백업 시스템으로 백업 작업을 분산하는 방법을 고려하십시오. 또한 백업 관리자의 역할도 다양한 IT 담당자에게 분산해서 한 명의 관리자가 모든 백업에 대한 액세스 권한을 갖는 일이 없도록 하십시오. 예를 들면 다음과 같습니다.
데이터베이스 관리자(DBA)는 데이터베이스 백업만 담당합니다.
데이터베이스가 다른 모든 데이터 저장소와는 별개로 백업됩니다.
데이터베이스가 특정 사이트 또는 클라우드 스토리지 계정으로 백업됩니다.
시스템 관리자는 다른 사이트 또는 클라우드 계정으로 파일 서버를 백업합니다.
데스크톱 및 노트북은 자체 클라우드 계정에 개별적으로 백업됩니다.
분산된 방식은 랜섬웨어가 발생하는 사이트와 계정의 수를 제한하므로 랜섬웨어로부터 백업을 보호하는 데 도움이 됩니다. 한 명의 사용자가 모든 백업에 대한 액세스 권한을 갖는 경우를 방지하면 랜섬웨어 공격이 모든 백업을 감염시킬 위험이 낮아집니다.
4. 백업 소프트웨어 및 저장소에 대한 액세스 제한
마찬가지로, 백업 콘솔 및 저장소에 대한 액세스도 제한하십시오. 여러 백업 관리자 역할을 생성한 다음 각 역할에 서로 겹치지 않도록 특권을 부여하고 책임을 할당하면 됩니다. 예를 들어, 여러 역할에 다음과 같은 주요 책임을 할당할 수 있습니다.
백업 작업 생성
보존 정책
보고
5. 백업, 백업 계획의 에어 갭
랜섬웨어 공격을 받게 되면 보통 감염되지 않은 백업에서 복원을 시도하게 됩니다. 그러나 랜섬웨어 공격자는 여러분이 그렇게 할 것임을 알고, 연결 가능한 모든 백업을 찾아서 파괴하도록 코드를 작성합니다. 직접 데이터를 복원하지 못하도록 해야 몸값을 받아낼 수 있기 때문입니다.
따라서 랜섬웨어로부터 백업을 보호하기 위해서는 공격이 영향을 미칠 수 없는 곳에 백업을 보관하는 것이 중요합니다. 이는 내부 네트워크와 인터넷에서 모두 접근할 수 없는, 연결되지 않은 오프라인 장소를 의미합니다.
에어 갭 백업에서는 디스크와 같은 이동식 미디어에 데이터를 저장해서 백업 시 오프사이트에 데이터를 저장할 수 있도록 합니다. 이렇게 하면 네트워크와 백업 간에 말 그대로 에어 갭(air gap), 즉 공극을 둘 수 있습니다. 물론 에어 갭은 백업과 복구 두 가지 측면에서 모두 불편하고 비용도 증가시킵니다. 사실 에어 갭을 적용할 경우 데이터를 검색하고 전송하고 마운트하고 읽기까지 오랜 시간이 걸리므로 랜섬웨어 공격으로부터의 복구 속도가 크게 느려질 수 있습니다.
대안은 무엇일까요? 신뢰할 수 있는 제공업체의 클라우드에 백업을 저장하는 방법이 있습니다. 더 쉬우면서도 여전히 오프사이트 조건을 만족할 수 있습니다. 또한 클라우드 백업은 필요한 경우 다양한 위치로 복구하고 랜섬웨어 복구 속도를 높일 수도 있습니다.
참고로 클라우드 스토리지를 사용한다면 백업 데이터가 내부 네트워크를 벗어나기 전에 데이터를 암호화해야 합니다.
6. 변경 불가 스토리지로 데이터 백업 강화
WORM(Write-Once Read-Many) 스토리지, 다른 이름으로 변경 불가 백업 스토리지에 백업 데이터 복사본을 저장하십시오. 이 유형의 스토리지 미디어는 데이터의 수정 또는 삭제를 차단함으로써 랜섬웨어 복구 과정에서 유용한 역할을 합니다. 물론 데이터 보존 계획에서 삭제 날짜를 설정할 수 있습니다. 데이터가 WORM 미디어에 작성되면 랜섬웨어라도 해도 해당 데이터를 편집, 삭제하거나 암호화할 수 없습니다.
7. 자동화
백업을 만들 때나 백업에서 복원할 때나 수동 절차는 시간이 많이 걸리고 부정확하며 결함을 유발할 수 있습니다. 백업은 누가 휴가를 떠나든, 또는 IT팀이 다른 어떤 일에 집중하고 있든 관계없이 정기적으로 정확하게 수행해야 합니다.
프로세스 자동화는 재해 복구에 중요하며, 시스템이 정상 작동하지 않는 동안 시시각각 금전적 손실이 발생하는 경우 특히 더 중요합니다. 가트너는 ‘복원 vs. 재구축 – 랜섬웨어 공격 이후 애플리케이션 복구를 위한 전략(Restore vs. Rebuild— Strategies for Recovering Applications After a Ransomware Attack)’에서 “조직이 수동 프로세스와 절차에 의존해야 하는 경우 영향을 받는 시스템의 즉각적인 복구가 불가능하다”라고 경고했습니다.
8. 백업 빈도 증대
랜섬웨어 공격이 발생한 이후 신속하게 복구하고 가동하기 위한 핵심은 전체 백업을 자주 수행하는 것입니다. 최대한의 보호를 위해서는 모든 변경과 업데이트, 추가 사항을 포함한 모든 데이터를 매일 백업하는 것이 최선입니다. 전체 백업을 충분히 자주 수행하지 않으면 데이터 복구에 더 오랜 시간이 걸리고 복구 지점 목표(RPO)를 충족하지 못하게 됩니다.
성공적인 복구를 위해서는 시스템이 안전했던 시점으로 복원할 수 있도록 비교적 최근에 수행된 전체 백업이 필요합니다.
9. 지속적인 모니터링
지속적인 모니터링을 통해 시스템에서 작은 변화가 발생하는 즉시 파악할 수 있습니다. 랜섬웨어가 네트워크에 침입할 기회를 포착하기 전에 감염된 디바이스를 격리, 통제 및 교정하기도 더 쉬워집니다. 시스템을 드문드문 스캔하면 뒤늦게 랜섬웨어를 발견하게 될 위험이 커집니다.
10. 다중 요소 인증 사용
다중 요소 인증(Multi-factor Authentication, MFA)은 관리자 계정에 필수적입니다. MFA를 적용하면 승인된 사용자든 불법적 사용자든 사용자 이름과 비밀번호 외에 부가적인 자격 증명을 입력해야 합니다. 정책과 작업을 수정하거나 기존 백업을 삭제하기 위해 백업 콘솔에 침투하려고 시도하는 공격자에게 이는 큰 장애물이 될 수 있습니다. 백업 저장소가 다른 콘솔에서 실행되는 시스템에 위치하는 경우에도 MFA는 유용합니다.
11. 백업 전략을 AD로 확장
파일 시스템 및 데이터베이스와 같은 데이터를 백업하고 복구할 수 있는 역량을 갖추는 것은 중요합니다. 그러나 윈도우 네트워크에서 재해 이후 모든 데이터를 활용하기 위해서는 액티브 디렉토리(Active Directory, AD) 인스턴스가 필요합니다.
예를 들어 세계적인 해운 기업 머스크(Maersk)는 낫페트야(NotPetya) 맬웨어에 감염되었을 당시 대부분의 데이터에 대한 백업을 갖고 있었지만, 최근 시점의 AD 백업이 없었습니다. AD를 처음부터 다시 구축해야 하는 상황에 직면했던 머스크는 다행히도 다른 지역에서 오프라인 도메인 컨트롤러 하나를 발견해서 이를 백업으로 사용했습니다.
AD 백업 및 복구는 간단한 프로세스가 아니므로 제어, 유연성, 자동화를 제공하는 소프트웨어를 선택해야 합니다. 도메인 컨트롤러를 되돌릴 때 감염이 다시 유입되지 않도록 맬웨어가 숨을 수 있는 위치를 제한해야 합니다.
결론
랜섬웨어 공격은 발생할지 여부가 아니라 ‘언제 발생하는가’의 문제입니다. 끝없는 경계 외에는 랜섬웨어 공격을 막을 뾰족한 방법이 거의 없습니다. 그리고 공격이 재앙으로 번지는 것을 막기 위해 할 수 있는 유일한 일은 백업을 랜섬웨어로부터 보호하는 것입니다.
이런 기법은 모든 현명한 IT 그룹의 툴킷에 포함되어 있습니다. 백업을 랜섬웨어로부터 보호하기 위한 위의 방법에 따른다면 랜섬웨어 위협을 차단하기 위해 할 수 있는 거의 모든 조치를 취하는 것입니다. 백업 관리에 어려움을 겪고 계시거나 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.