Quick Overview 랜섬웨어 공격은 데이터를 암호화해 사용자의 액세스를 차단하고 몸값을 요구하는 악성코드입니다. 랜섬웨어 공격을 받더라도 데이터를 백업하고 백업을 보호하면 충분히 복구할 수 있으며, 복구 시간과 몸값 지불을 방지할 수 있습니다. 따라서 백업 못지않게 백업 데이터 자체를 보호하는 것도 중요합니다. |
랜섬웨어 공격은 막대한 피해를 입힐 수 있지만, 데이터를 백업하고 백업을 보호하면 공격을 받아도 복구할 수 있으며, 복구 시간을 단축하고 몸값 지불도 방지할 수 있습니다.
정기적이고 안전한 백업은 데이터 보호에 도움이 되지만, 랜섬웨어로부터 백업을 보호하는 것도 그에 못지않게 중요합니다. 백업도 감염될 수 있으며 프로덕션 데이터와 백업 데이터를 모두 사용하지 못하는 상황에 처할 수도 있음을 유의하십시오. 이번 포스팅에서는 백업 보호가 어떻게 복구를 개선하고 공격 이후 곧바로 비즈니스로 복귀할 수 있는지 살펴봅니다.
랜섬웨어 공격이란?
랜섬웨어는 일반적으로 데이터를 암호화해서 데이터와 시스템에 대한 액세스를 차단하는 악성 코드의 일종입니다. 이후 공격자는 암호화 키를 대가로 몸값을 요구합니다. 이들은 피해자가 몸값을 지불하지 않을 경우 데이터를 공개하겠다고 협박하는 방식으로 공격의 범위를 확장하는 경우가 많습니다(물론 몸값을 지불한다고 해서 이들이 위협을 멈출 것이라는 보장은 없습니다).
랜섬웨어의 범위는 데이터베이스, 문서, 스프레드시트와 같은 개별 파일에 국한하지 않습니다. 공격은 애플리케이션과 운영체제도 손상시킬 수 있습니다. 엔터프라이즈 표적에는 도메인 컨트롤러에서 실행되는 AD(Active Directory)의 인증 및 권한 부여 기능도 포함되는데, 이 부분이 공격을 받을 경우 IT에 의존하는 모든 활동이 중단될 수 있습니다.
사이버 범죄자는 랜섬웨어를 네트워크에 침투시키기 위해 일반적으로 악성 첨부 파일이나 악성 웹사이트 링크가 포함된 피싱 이메일을 보냅니다. 또는 2017년 워너크라이(WannaCry) 공격과 같이 운영체제나 소프트웨어 애플리케이션의 취약점을 악용하기도 합니다. 또한 최근의 사이버 범죄자는 몸값의 일부를 받는 대가로 자신이 속한 조직의 네트워크에 기꺼이 랜섬웨어를 배포할 직원들을 포섭하고 있습니다.
랜섬웨어와 백업
공격자의 데이터 손상, 삭제 또는 암호화 시도로부터 백업 및 복구 시스템을 지키고 보호해야 합니다. 침입자가 볼 수 없는 서브넷을 만들어 그곳에 저장소를 두면 백업 스토리지와 네트워크의 연결을 제한할 수 있지만, 백업을 암호화하면 악의적 행위자가 백업에 액세스하더라도 데이터를 사용할 수 없다는 점에 주목할 필요가 있습니다.
랜섬웨어에서 백업을 보호하는 방법
1. 데이터 복사본을 여러 개 유지
IT 업계의 한 가지 경험칙은 백업이 두 개 있다고 생각한다면 사실은 한 개라는 것입니다. 하나는 실패할 것이기 때문입니다. 같은 이유로, 백업이 하나라면 사실은 백업이 없는 것과 같습니다. 이 규칙에서 나온 것이 다음과 같은 3-2-1 전략입니다.
왜 3-2-1일까요? 이렇게 하면 어떠한 종류의 재해가 닥치더라도 여러 중복된 데이터 복사본에서 데이터를 복원할 수 있기 때문입니다. 3-2-1 전략은 건전한 데이터 보호 아키텍처의 일부입니다. 3-2-1을 구현하지 않고 비용을 아낄 수는 있지만, 대신 재해가 발생할 때 귀중한 예비 백업이 없다는 대가를 치러야 합니다.
2. 전체, 차등 및 증분 백업 사용
백업은 최후의 방어선이므로 비상 상황 또는 의도적인 공격으로 인해 변경, 손실 또는 파괴된 정보를 복원하는 남은 유일한 방법인 경우가 많습니다. 더 신중을 기하려면 3-2-1 규칙을 지키는 것 외에, 데이터 백업 기법을 다양화함으로써 위험을 한층 더 낮춰야 합니다.
보호를 위한 한 번의 백업 세션에서 회사의 모든 데이터의 복제본을 만드는 것을 전체 백업(full backup)이라고 합니다. 이 방법은 모든 데이터의 정확한 복사본을 만들어 버전을 관리할 필요를 없애고 복구 속도를 빠르게 해줍니다.
그러나 정보의 양이 큰 만큼 가장 느린 방법이기도 하며, 디스크 공간과 네트워크 대역폭도 더 많이 필요합니다. 데이터 중복 제거 및 압축과 같은 고급 기술을 사용하면 필요한 스토리지 공간을 줄이고 전체 과정의 속도도 높일 수 있습니다. 백업 시간과 스토리지 용량이 넉넉하다면 전체 백업으로 가장 안정적인 결과를 얻을 수 있습니다. 단, 전체 백업도 암호화해야 하며 그렇지 않을 경우 모든 데이터가 노출될 수 있습니다.
마지막 전체 백업 이후 수정된 파일만 캡처하는 데이터 백업 유형을 차등 백업(differential backup)이라고 합니다. 어떤 방식으로든 추가 또는 수정된 데이터를 포함하지만 매번 모든 데이터를 복사하지는 않습니다.
결과적으로 전체 백업보다 스토리지 공간이 덜 필요하므로 비용 측면에서 유리합니다. 그러나 전체 백업보다 복원 속도는 느리며, 복원에 두 가지 소스가 사용되므로 관리하기도 더 복잡합니다. 차등 백업은 사용하는 데이터 스토리지의 유형과 매체에 따라 증분 백업에 비하면 복구 시간이 더 빠를 수 있습니다. 또한 차등 백업을 사용하면 그 기반이 되는 전체 백업에 대한 종속성이 발생합니다. 복제된 차등 백업에는 항상 기반이 되는 전체 백업이 포함되어야 한다는 점에 각별한 주의를 기울여야 합니다.
차등 백업은 더 짧은 백업 기간으로 복구를 간소화하는 데 도움이 될 수 있지만 다음 전체 백업으로 진행될수록 크기가 더 커집니다. 마찬가지로, 중복 제거와 같은 기술을 사용하면 크기를 줄이는 데 도움이 될 수 있습니다.
증분 백업(Incremental backup)의 첫 단계는 항상 전체 백업입니다. 증분 백업에서는 이전 백업 이후 변경 및 추가된 부분만 저장됩니다. 이런 측면에서 차등 백업과 비슷합니다. 그러나 차등 백업은 마지막 전체 백업에 대한 변경을 기반으로 하는 반면 첫 백업에서 이어지는 증분 백업은 가장 최근의 증분 백업에 대한 변경 사항을 기반으로 합니다.
일반적으로 증분 백업은 다른 두 방법보다 필요한 스토리지 공간이 적습니다. 스토리지 공간을 더욱 절약하기 위해 블록 수준 증분 백업 대신 바이트 수준 증분 백업을 사용하는 방법도 있습니다.
증분 백업 저장 세트는 체인의 각 증분 백업에 의존하며, 이 종속성 고리는 모든 증분 백업의 기반이 되는 전체 백업까지 거슬러 올라갑니다. 증분 체인이 긴 백업 전략에서는 모든 증분 종속성이 만료될 때까지 전체 백업이 만료되지 않을 수 있으므로 필요한 전체 보존 기간이 늘어날 수 있습니다.
증분 백업의 경우 복원에 더 오랜 시간이 걸립니다. 또한 복원 시점에 백업 체인 전체의 모든 파일이 필요하므로 관리가 까다로울 수 있습니다. 소스에서 타겟으로 옮기는 데이터의 양이 비교적 적으므로 시간 및 네트워크 대역폭을 아껴야 하는 경우 이상적입니다.
지금까지 랜섬웨어에서 백업을 보호하는 11가지 전술 가운데 2가지를 소개했습니다. 2부에서는 나머지 9가지 방법을 소개합니다. 백업 관리에 어려움을 겪고 계시거나 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
Quick Overview
랜섬웨어 공격은 데이터를 암호화해 사용자의 액세스를 차단하고 몸값을 요구하는 악성코드입니다. 랜섬웨어 공격을 받더라도 데이터를 백업하고 백업을 보호하면 충분히 복구할 수 있으며, 복구 시간과 몸값 지불을 방지할 수 있습니다. 따라서 백업 못지않게 백업 데이터 자체를 보호하는 것도 중요합니다.
랜섬웨어 공격은 막대한 피해를 입힐 수 있지만, 데이터를 백업하고 백업을 보호하면 공격을 받아도 복구할 수 있으며, 복구 시간을 단축하고 몸값 지불도 방지할 수 있습니다.
정기적이고 안전한 백업은 데이터 보호에 도움이 되지만, 랜섬웨어로부터 백업을 보호하는 것도 그에 못지않게 중요합니다. 백업도 감염될 수 있으며 프로덕션 데이터와 백업 데이터를 모두 사용하지 못하는 상황에 처할 수도 있음을 유의하십시오. 이번 포스팅에서는 백업 보호가 어떻게 복구를 개선하고 공격 이후 곧바로 비즈니스로 복귀할 수 있는지 살펴봅니다.
랜섬웨어 공격이란?
랜섬웨어는 일반적으로 데이터를 암호화해서 데이터와 시스템에 대한 액세스를 차단하는 악성 코드의 일종입니다. 이후 공격자는 암호화 키를 대가로 몸값을 요구합니다. 이들은 피해자가 몸값을 지불하지 않을 경우 데이터를 공개하겠다고 협박하는 방식으로 공격의 범위를 확장하는 경우가 많습니다(물론 몸값을 지불한다고 해서 이들이 위협을 멈출 것이라는 보장은 없습니다).
랜섬웨어의 범위는 데이터베이스, 문서, 스프레드시트와 같은 개별 파일에 국한하지 않습니다. 공격은 애플리케이션과 운영체제도 손상시킬 수 있습니다. 엔터프라이즈 표적에는 도메인 컨트롤러에서 실행되는 AD(Active Directory)의 인증 및 권한 부여 기능도 포함되는데, 이 부분이 공격을 받을 경우 IT에 의존하는 모든 활동이 중단될 수 있습니다.
사이버 범죄자는 랜섬웨어를 네트워크에 침투시키기 위해 일반적으로 악성 첨부 파일이나 악성 웹사이트 링크가 포함된 피싱 이메일을 보냅니다. 또는 2017년 워너크라이(WannaCry) 공격과 같이 운영체제나 소프트웨어 애플리케이션의 취약점을 악용하기도 합니다. 또한 최근의 사이버 범죄자는 몸값의 일부를 받는 대가로 자신이 속한 조직의 네트워크에 기꺼이 랜섬웨어를 배포할 직원들을 포섭하고 있습니다.
랜섬웨어와 백업
공격자의 데이터 손상, 삭제 또는 암호화 시도로부터 백업 및 복구 시스템을 지키고 보호해야 합니다. 침입자가 볼 수 없는 서브넷을 만들어 그곳에 저장소를 두면 백업 스토리지와 네트워크의 연결을 제한할 수 있지만, 백업을 암호화하면 악의적 행위자가 백업에 액세스하더라도 데이터를 사용할 수 없다는 점에 주목할 필요가 있습니다.
랜섬웨어에서 백업을 보호하는 방법
1. 데이터 복사본을 여러 개 유지
IT 업계의 한 가지 경험칙은 백업이 두 개 있다고 생각한다면 사실은 한 개라는 것입니다. 하나는 실패할 것이기 때문입니다. 같은 이유로, 백업이 하나라면 사실은 백업이 없는 것과 같습니다. 이 규칙에서 나온 것이 다음과 같은 3-2-1 전략입니다.
항상 데이터의 복사본을 3개 유지
그중에서 2개는 서로 다른 미디어 유형을 사용하여 로컬에 저장
나머지 1개의 복사본은 오프사이트에 저장(예를 들어 클라우드, 멀리 떨어진 곳 또는 테이프)
왜 3-2-1일까요? 이렇게 하면 어떠한 종류의 재해가 닥치더라도 여러 중복된 데이터 복사본에서 데이터를 복원할 수 있기 때문입니다. 3-2-1 전략은 건전한 데이터 보호 아키텍처의 일부입니다. 3-2-1을 구현하지 않고 비용을 아낄 수는 있지만, 대신 재해가 발생할 때 귀중한 예비 백업이 없다는 대가를 치러야 합니다.
2. 전체, 차등 및 증분 백업 사용
백업은 최후의 방어선이므로 비상 상황 또는 의도적인 공격으로 인해 변경, 손실 또는 파괴된 정보를 복원하는 남은 유일한 방법인 경우가 많습니다. 더 신중을 기하려면 3-2-1 규칙을 지키는 것 외에, 데이터 백업 기법을 다양화함으로써 위험을 한층 더 낮춰야 합니다.
전체 백업
보호를 위한 한 번의 백업 세션에서 회사의 모든 데이터의 복제본을 만드는 것을 전체 백업(full backup)이라고 합니다. 이 방법은 모든 데이터의 정확한 복사본을 만들어 버전을 관리할 필요를 없애고 복구 속도를 빠르게 해줍니다.
그러나 정보의 양이 큰 만큼 가장 느린 방법이기도 하며, 디스크 공간과 네트워크 대역폭도 더 많이 필요합니다. 데이터 중복 제거 및 압축과 같은 고급 기술을 사용하면 필요한 스토리지 공간을 줄이고 전체 과정의 속도도 높일 수 있습니다. 백업 시간과 스토리지 용량이 넉넉하다면 전체 백업으로 가장 안정적인 결과를 얻을 수 있습니다. 단, 전체 백업도 암호화해야 하며 그렇지 않을 경우 모든 데이터가 노출될 수 있습니다.
차등 백업
마지막 전체 백업 이후 수정된 파일만 캡처하는 데이터 백업 유형을 차등 백업(differential backup)이라고 합니다. 어떤 방식으로든 추가 또는 수정된 데이터를 포함하지만 매번 모든 데이터를 복사하지는 않습니다.
결과적으로 전체 백업보다 스토리지 공간이 덜 필요하므로 비용 측면에서 유리합니다. 그러나 전체 백업보다 복원 속도는 느리며, 복원에 두 가지 소스가 사용되므로 관리하기도 더 복잡합니다. 차등 백업은 사용하는 데이터 스토리지의 유형과 매체에 따라 증분 백업에 비하면 복구 시간이 더 빠를 수 있습니다. 또한 차등 백업을 사용하면 그 기반이 되는 전체 백업에 대한 종속성이 발생합니다. 복제된 차등 백업에는 항상 기반이 되는 전체 백업이 포함되어야 한다는 점에 각별한 주의를 기울여야 합니다.
차등 백업은 더 짧은 백업 기간으로 복구를 간소화하는 데 도움이 될 수 있지만 다음 전체 백업으로 진행될수록 크기가 더 커집니다. 마찬가지로, 중복 제거와 같은 기술을 사용하면 크기를 줄이는 데 도움이 될 수 있습니다.
증분 백업
증분 백업(Incremental backup)의 첫 단계는 항상 전체 백업입니다. 증분 백업에서는 이전 백업 이후 변경 및 추가된 부분만 저장됩니다. 이런 측면에서 차등 백업과 비슷합니다. 그러나 차등 백업은 마지막 전체 백업에 대한 변경을 기반으로 하는 반면 첫 백업에서 이어지는 증분 백업은 가장 최근의 증분 백업에 대한 변경 사항을 기반으로 합니다.
일반적으로 증분 백업은 다른 두 방법보다 필요한 스토리지 공간이 적습니다. 스토리지 공간을 더욱 절약하기 위해 블록 수준 증분 백업 대신 바이트 수준 증분 백업을 사용하는 방법도 있습니다.
증분 백업 저장 세트는 체인의 각 증분 백업에 의존하며, 이 종속성 고리는 모든 증분 백업의 기반이 되는 전체 백업까지 거슬러 올라갑니다. 증분 체인이 긴 백업 전략에서는 모든 증분 종속성이 만료될 때까지 전체 백업이 만료되지 않을 수 있으므로 필요한 전체 보존 기간이 늘어날 수 있습니다.
증분 백업의 경우 복원에 더 오랜 시간이 걸립니다. 또한 복원 시점에 백업 체인 전체의 모든 파일이 필요하므로 관리가 까다로울 수 있습니다. 소스에서 타겟으로 옮기는 데이터의 양이 비교적 적으므로 시간 및 네트워크 대역폭을 아껴야 하는 경우 이상적입니다.
지금까지 랜섬웨어에서 백업을 보호하는 11가지 전술 가운데 2가지를 소개했습니다. 2부에서는 나머지 9가지 방법을 소개합니다. 백업 관리에 어려움을 겪고 계시거나 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.