랜섬웨어 공격은 더욱 영민해지고 있고 피해사례 또한 늘고 있다. 랜섬웨어는 결국 시스템을 잠그거나 암호화한후 데이터에 접근하고 싶으면 돈을 내라고 요구하는 악성 프로그램이다. 여기에서 본질은 결국 데이터다. 데이터만 온전히 보호될수 있으면 랜섬웨어 사고가 발생해도 해커의 요구에 완전히 굴복할 필요 없이 다양한 정상화 시나리오를 확보할 수 있다.
보안관리자가 사이버공격의 탐지와 차단을 기본으로 예방에 중점을 둔다면 인프라 관리자는 랜섬웨어 사고가 발생하더라도 데이터는 안전하게 보호될수 있는 사후 방안을 준비해야한다. 사후 대응방안으로서 손꼽히는 기술은 변경불가 백업(Immutable Backup)이다. 랜섬웨어가 프로덕션 데이터 또는 백업 데이터의 삭제나 암호화를 시도하더라도 백업 데이터는 안전하게 보호해주는 기술이다.
랜섬웨어로 인한 피해가 발생하면 안 되겠지만 만약 발생한다면 히든카드가 되어줄수 있는 변경불가 백업에 대해서 알아본다.
◆ 사이버 보안기술의 다양한 시도
방화벽은 가장 대표적인 방어기술로써 사이버 공격을 차단하는 역할을 하지만 이미 알려진, DB화된 공격방법에 한해서만 방어가 가능하다.
DB화된 공격방법 위주로 방어하는 방화벽 기술의 한계를 극복하고 더 강력한 방어를 위해 샌드박스나 인공지능 같은 고급기술 기반의 지능적 방어 시스템 도입도 늘고 있다.
하지만 날로 영악해지는 랜섬웨어는 샌드박스 환경을 인지해서 원래 의도한 공격능력을 숨겨서 탐지를 회피하는 방법으로 진화하고 있고 네트워크 분리와 같은 다중 방화벽은 공격의 난이도를 높여서 ROI에 민감한 해커가 좀더 쉬운 상대를 찾아나서는 것을 유도하지만 장기간 지속적인 공격이 가능한 해커에게는 결국 뚫리는 사례가 나오고 있다.
또한 아무리 뛰어난 사이버보안 기술을 도입하고 교육을 시행해도 경계선의 가장 끝자리에 있는 사용자들이 실수로 더블클릭하여 사이버공격에 문을 열어주는 사례도 많이 발생하고 있다.
보안시장은 계속 성장하고 있지만 사이버공격 피해 사례 또한 가파르게 증가하고 있다. 즉, 사이버보안에 대한 기업들의 투자는 늘고 있음에도 불구하고 예방은 어렵다. 마찬가지로 전문가들은 100% 예방은 불가능하다고 한다. 따라서 우리 기업도 해킹 당할 수 있다는 것을 인정하고 해킹사고가 발생 했을때 중요한 기업 데이터는 온전하게 보호할 수 있는 변경불가 백업의 도입이 필요하다.
◆ 빔 소프트웨어의 변경불가 백업
변경불가 백업은 한번 저장된 백업은 미리 설정된 기간동안 변경 또는 삭제가 불가하며 관리자 권한이 탈취되도 변경할수 없다. 리눅스 기반의 서버로 구현되며 미국 3개 금융기관 (미 증권거래위원회 Securities and Exchange Commission, 미 금융감독원 Financial Industry Regulatory Authority, 미 상품선물거래위원회 Commodity Futures Trading Commission)의 인증을 통과한 기술이다.
변경불가 백업과 함께 구현되면 효과적인 기술은 즉시 복구 기능이다. 랜섬웨어에 의해 접근이 불가한 서버 대신 해당 서버의 백업본으로 2-3분 이내 즉시 서비스를 재개할수 있다. 이 기능을 통해 트러블슈팅 및 데이터 복구 과정중에도 서비스의 연속성을 이어갈 수 있다.
예방도 중요하지만 검증된 백업 기술을 이용해 대응 시나리오의 다각화가 필요하다.
전자신문인터넷 이호 기자 (dlghcap@etnews.com)