2020년은 랜섬웨어의 해였습니다. 해커에게는 좋은 한 해였고 이들을 막으려는 기업에는 불운한 한 해였습니다. 랜섬웨어 공격은 이제 ‘만약’의 문제를 넘어 ‘언제’ 발생할 것인지에 대한 시간 문제가 되었으며, 전문가들은 올해 11초마다 랜섬웨어 공격이 발생할 것으로 예측하고 있습니다. 정교한 기술을 가진 사이버 범죄자들은 계속해서 취약점을 노리고 있으며, 피해자들은 암호화된 데이터를 되찾기 위해 해커들의 요구에 굴복하고 현금을 줄 수밖에 없습니다.
하지만 랜섬을 지불한다고 해서 반드시 모든 데이터를 되찾을 수 있는 것은 아닙니다. 랜섬웨어 공격 이후 최종적인 결과는 실질적으로 얼마나 준비가 잘 되어 있느냐(영문자료)에 달려 있습니다.
데이터 보호 전략이 판이하게 다른 두 가상의 회사가 랜섬웨어 공격으로 어떤 영향을 받을 수 있는지 알아보겠습니다.
A사와 B사에 대한 소개
A사는 위협과 사이버 공격으로부터 자사를 보호하기 위한 백업 소프트웨어 및 프로세스를 포함하여 데이터를 보호하는 최신 보안 도구를 보유하고 있습니다. 하지만 교묘한 랜섬웨어 공격으로부터 완벽히 보호할 수 있을까요? 무엇보다도, 얼마나 빠르게 복구할 수 있을까요?
B사도 A사와 비슷한 툴을 보유하고 있지만, 추가적으로 세이프모드(SafeMode™) 스냅샷이 적용된 퓨어스토리지 와 래피드 리스토어(Rapid Restore)를 구축했습니다. 이 회사는 수시로 실행되는 시스템 백업을 통해 변경 불가능한 읽기 전용 스냅샷을 사용하여 데이터를 신속하게 복구할 수 있습니다.
공격 개시
매우 현실적인 시나리오(영문자료)입니다. 사이버 범죄 조직은 IT 직원이 근무하지 않는 주말을 틈타 공격을 시작합니다. 회사의 네트워크에 침투한 해커는 가능한 한 많은 워크스테이션을 가로질러 모든 시스템에 랜섬웨어를 설치합니다.
보안 경보가 울릴 즈음이면 랜섬웨어 암호화 프로세스는 이미 끝난 상태입니다. 해커는 벌써 네트워크를 락다운하고 시스템 파일을 암호화했습니다. 암호 해독 키 없이는 아무도 액세스할 수 없는 것입니다.
공격 대응
최악의 상황이 발생합니다. 회사는 공격받은 사실을 발견한 후 랜섬을 지불할 것을 요구 받습니다. 해커는 지정한 시간까지 돈을 받지 못하면 회사의 데이터를 삭제하겠다고 위협합니다.
두 회사 모두 보안팀과 모니터링 시스템, 백업을 보유하고 있지만, 두 회사의 데이터 보안 아키텍처와 그 기능은 서로 매우 다릅니다. 이 두 회사의 상황은 다음과 같이 전개됩니다.
A사는 보조 스토리지에 상주하는 백업본을 활용하려고 하지만 액세스가 쉽지 않습니다. 따라서 복구 시간이 느려집니다. 게다가, 손상된 백업을 복원하지 않으려면 포렌식 분석을 실행하여 공격 출처를 찾아야만 합니다.
B사는 잦은 백업을 통해 중요한 데이터를 보호할 수 있었습니다. 세이프모드 스냅샷은 수정, 삭제 또는 암호화될 수 없기 때문에 이 회사는 언제든 액세스할 수 있는 안전한 데이터 사본을 보유하고 있는 상태입니다. 스냅샷을 활용하면 고속 포렌식 분석을 수행하여 손상되지 않은 백업을 신속하게 복원할 수 있습니다.
선택 가능한 옵션 비교
이제 피해를 평가하고 문제를 분류하고 진행 방법을 결정해야 할 때입니다. 안타깝지만 사이버 범죄자와의 협상은 효과적인 전략이 아닙니다. 설령 랜섬을 지불하더라도 데이터를 완전히 복구하지 못하는 경우가 있습니다. 그리고 보안 기업 소포스의 2020년 랜섬웨어 현황 보고서(Sophos State of Ransomware 2020)에 따르면, 데이터 몸값을 지불하면 총 복구 비용이 두 배로 늘어날 수도 있습니다.
A사의 IT 보안 팀이 선택지에 대해 논의합니다. 랜섬을 지불하고 사이버 범죄자가 파일을 해독해 주기를 바라거나, 감염된 파일을 제거하고 백업에서 데이터를 복원하여 복구를 시도할 수 있습니다. 하지만 다른 문제가 기다리고 있습니다.
- 백업에서 멀웨어가 다시 유입될 위험성: 복구하기 전에 먼저 백업을 정리할 필요가 있습니다. 그러지 않으면 복구 과정에서 멀웨어가 시스템에 다시 유입될 위험이 있습니다.
- 비용이 많이 드는 다운타임: RPO(복구시점목표)와 RTO(복구시간목표)가 충족되지 않을 수 있습니다. 특별히 설계된 데이터 보호 인프라가 과도한 공격으로 큰 부담을 받으면 IT 리소스가 다른 목적으로 사용되게 됩니다.
- SLA 미준수: 네트워크와 중요한 앱이 작동하지 않으면 SLA를 위반할 수 있습니다. 이는 단순한 IT 문제를 넘어 비즈니스 문제가 되며(영문자료), 결과적으로 고객의 신뢰와 함께 수익까지 잃게 됩니다.
B사는 포렌식 분석을 수행하고 손상되지 않은 백업을 신속하게 복원하기 위해 세이프모드 스냅샷을 사용하여 계속해서 작업 계획을 실행합니다. 기본으로 제공되는 이 기능은 다른 플랫폼으로의 이동 없이 로컬에서 백업 데이터 및 관련 메타데이터 카탈로그에 대한 읽기 전용 스냅샷을 제공합니다. 따라서 이 회사는 가장 엄격한 RPO 및 RTO도 충족할 수 있으며, 운영이 중단되지도 않습니다.
행동 개시
이제 집중해야 할 부분은 데이터 복원입니다. 하지만 백업마저 암호화될 경우 복구 프로세스가 훨씬 더 복잡해질 수 있습니다.
A사는 감염된 파일을 복구하고 백업에서 데이터를 복원하기로 결정합니다. 그러나 이내 A사는 백업이 네트워크에 연결되어 있었기 때문에 역시 암호화되었다는 사실을 발견합니다. 여기에는 엔드유저 프라이머리 데이터, NAS 파일 시스템 및 오브젝트 저장소가 포함됩니다.
B사도 백업이 암호화되어 있음을 발견하지만 세이프모드 스냅샷 덕분에 안전하게 보호됩니다. 랜섬웨어는 관리자 크리덴셜을 활용해도 백업을 삭제, 수정 또는 암호화할 수 없습니다. 결국 데이터베이스 백업이 복원됩니다.
복구 경로
비즈니스 연속성을 유지하는 일은 매분 매초가 중요합니다. 많은 기업에서 공격 발생 후 다운타임은 평균적으로 5일 이상, 때로는 훨씬 더 오래 지속될 수 있습니다.
A사는 시스템을 정리 및 재사용하고 데이터를 복원하는 오랜 프로세스로 인해 심각한 다운타임에 직면해 있습니다. 감염된 백업으로 인해 상황은 더욱 복잡합니다. 게다가 모든 데이터를 복원할 수 있는 것도 아닙니다.
회사는 랜섬을 지불하지만, 파일을 해독하는 일은 비용이 많이 들고 오랜 시간이 걸리는 작업입니다. 안타깝게도 랜섬을 지불한 사실이 공개적으로 알려져 이는 회사의 명성과 수익 모두에 부정적인 영향을 미칠 것입니다.
B사는 원활하게 복구 모드로 전환할 수 있습니다. 플래시블레이드를 사용하면 시간당 270TB의 데이터를 복구할 수 있습니다. 몇 시간 내에 B사의 티어 1 개발/테스트 환경, 애널리틱스, IT 샌드박스 및 백업이 복구됩니다. 주요 앱이 다시 실행되기 시작하고 팀은 작업을 재개합니다. IT 팀에 대한 내부적 신뢰 및 비즈니스에 대한 대중의 신뢰가 훼손되지 않습니다.
어떤 회사가 되시겠습니까?
랜섬웨어 공격은 반드시 대비해야 할 위험입니다. 그 어느 기업도 A사처럼 되고 싶어 하지 않을 것입니다. 하지만 A사와 같은 기업이 많은 것이 현실이고 본인들은 그 사실을 전혀 모르고 있을 수도 있습니다. 누구나 보안을 유지하기 위해 적절한 조치를 취하고 있다고 생각하겠지만, 기존 보안 아키텍처에 의존할 경우 최첨단 기술을 활용한 공격으로부터 데이터와 시스템을 제대로 보호할 수 없습니다. 세이프모드 및 래피드 리스토어와 같은 최신 솔루션만이 보안 전략을 한 차원 더 높은 수준으로 끌어올릴 수 있습니다.
2021년에는 퓨어스토리지의 랜섬웨어 복구 솔루션을 활용하여 다운타임을 극복하고 잠재적인 해커와의 대결에서 승리함으로써 B사와 같은 기업이 되시기 바랍니다. 최고 수준으로 완벽하게 대비되어 있다면 랜섬웨어 공격 시에도 언제든 데이터가 접근 및 활용 가능할 것입니다.
- https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
- https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf
- https://www.veritas.com/content/dam/Veritas/docs/ebook/V1117_GA_EB_2020-ransomware-resiliency-report_EN.pdf
