이번 글은 에어 갭과 복원성 아키텍처에 대한 시리즈의 1부입니다. 2부는 “계층화된 백업 아키텍처 없이 진정한 복원력을 확보할 수 있을까?”(“Without A Tiered Backup Architecture, Are You Truly Resilient?”) 에서 확인하실 수 있습니다.
랜섬웨어 공격자들은 무자비한 기회주의자들이지만, 그렇다고 해서 우리가 그들의 일을 더 쉽게 만들어 줄 필요는 없습니다.
콜로니얼 파이프라인(Colonial Pipelines)의 백 오피스 랜섬웨어 공격 사례를 보면, 이 사건으로 인해 중요한 가스와 연료 인프라가 4일 이상 중단되었으며, 조사 결과 보안상의 허점으로 인해 공격이 “상당히 쉬웠다”는 사실이 드러났습니다.
이와 같은 위협을 막기 위해 우리는 공격자가 최대한 활동하기 어렵게 만들어야 하며, 다행히도 이를 지원하는 다양한 기술과 아키텍처 패러다임이 존재합니다. 그중 하나가 바로 “에어 갭”입니다. 그렇다면 에어 갭이 사이버 복원력의 특효약이 될 수 있을까요?
에어 갭이란 무엇인가?
에어 갭이라는 것은 필수적일까요? 아니면 단순한 마케팅 용어일까요?
전통적으로 에어 갭이라는 것은 물리적인 개념으로, 테이프 기반 백업이나 오프사이트 시스템을 활용하여 물리적인 연결이 전혀 없는 상태로 분리된 것을 의미했습니다. 관리자들은 프로덕션 시스템과 에어 갭 시스템 간 데이터를 전송할 때만 연결을 허용하고, 나머지 시간에는 연결을 차단하는 형태로 운영해왔습니다. 이는 성을 지키는 다리와 비슷한 방식으로, 데이터 전송 시에는 다리를 내리고, 그 외 시간에는 다리를 올리는 형태로 운영되었습니다.
오늘날 “에어 갭”의 개념은 “물리적 네트워크 격리”를 넘어, 효과적이고 효율적인 데이터 보안 전략의 필수 요소로 발전했습니다. 현대 에어 갭은 주로 네트워크 제어를 통해 논리적 분리에 중점을 두고 있습니다. 기본적으로 이는 프로덕션 네트워크와 백업 네트워크를 분리하는 네트워크 설계 토폴로지를 의미하며, 일부 공급업체들은 이 개념을 다음과 같은 방식으로 발전시켰습니다:
- 가상 에어 갭: 초기에 논리적 네트워크 분리에 중점을 두었으며, Write Once, Read Many (WORM) 기능이 있는 중복 인프라 세트를 판매하려는 공급업체에 의해 도입되었습니다. 사이트 간 네트워크는 주기적으로 열리고 닫혔으며, 광범위한 컨설팅 및 전문 서비스를 통해 제공되었습니다.
- 운영 에어 갭: “가상 에어 갭”이 고객에게 큰 호응을 얻지 못하자(낮은 판매량), 인프라 비용을 줄이고 설정 및 유지 관리 과정을 자동화하기 위한 대안으로 운영 에어 갭이 개발되었습니다.
이 두 가지 접근 방식은 기본적으로 규제 및 준수 요구 사항을 충족하기 위해 설계된 WORM 기능에 의존하는 경우가 많습니다.
에어 갭의 핵심 목표는 중요한 데이터를 상대적으로 위험이 높은 로컬 네트워크와 프로덕션 환경으로부터 효과적으로 격리하는 데 있습니다. 프로덕션 네트워크에서 일정 주기로 데이터를 가져오는 방식으로 백업을 꾸준히 업데이트하면서도, 두 네트워크 간의 연결은 주로 차단된 상태를 유지합니다. 이러한 연결 주기는 하루 한 번 혹은 사전에 설정된 주기에 따라 유연하게 조정될 수 있습니다.
에어갭의 기대 효과
에어갭의 개념은 두 지점 간의 연결이 차단된 상태라면, 이론적으로 위협이 전파될 경로로가 사라진다는 데 있습니다. 또한, 컴퓨팅 노드가 없을 경우 에어 갭 시스템에 접근하기가 훨씬 더 까다로워집니다. 이러한 이유로 일부 데이터 스토리지 제공업체는 에어 갭으로 보호되는 복구 저장소를 데이터를 안전하게 유지하기 위한 현대적인 혁신이라고 홍보하고 있습니다. 하지만 에어 갭이라고 불리는 것은 방화벽처럼 단순하고 프로그램적인 것일 수도 있습니다.
일반적으로 에어 갭은 다음과 같은 방법으로 향상된 보호 기능을 제공할 수 있습니다.
- 기존 백업 아키텍처보다 한층 강력한 보안 제공
- 멀웨어(악성 소프트웨어) 확산 가능성을 효과적으로 제한
- 해커가 에어 갭 데이터에 접근하기 위해 더 많은 작업을 수행하도록 함
- 공격당한 이후 데이터 복구 가능성을 높임
더 나아가, 공격이 발생한 뒤에도 에어 갭은 손상되지 않은 데이터를 안전하게 복구하는 데 중요한 역할을 할 수 있습니다. 그러나 이와 관련해 고려해야 할 요소들도 분명 존재합니다.
에어 갭의 현실
에어 갭과 관련하여 고려해야 할 몇 가지 문제가 있습니다. 가장 먼저 떠오르는 문제는 접근성입니다. 사이버 공격이 발생한 순간부터는 1분 1초도 소중한 상황에서, 에어 갭은 해커뿐 아니라 정당한 사용자가 데이터에 빠르게 접근하는 것조차 어렵게 만들 수 있습니다. 또 다른 문제는 에어 갭을 유지하는 데 필요한 작업량입니다. 에어 갭이 복잡한 스크립팅과 설정으로 더 견고해질수록, 이를 효과적으로 유지하고 관리하는 데 필요한 노력이 그만큼 늘어나게 됩니다.
또 다른 문제점은 다음과 같습니다:
- 에어 갭은 사이버 공격에 100% 안전하지 않습니다.
- 에어 갭은 구현 및 운영 비용이 많이 들고, 관리와 유지가 어려울 수 있습니다.
- 대규모 데이터의 복구에는 시간이 오래 걸리며, 확장성이 뛰어나지 않습니다.
- 내부적 위협이나 저장소 또는 백업 관리자의 자격 증명 손상 같은 문제까지는 해결하지 못합니다.
- 대규모 파일 복구의 경우, 엄격한 복구 목표 지점(RPO)을 충족해야 할 때 시간이 매우 오래 걸리며, 계층화된 복구를 위한 데이터 분류에도 시간과 노력이 필요합니다.
추가로 에어 갭 보안 전략은 안정성과 속도 문제를 완벽하게 해결할 수 없습니다. 안정성과 속도는 성공적인 복구를 위한 가장 중요한 두 가지 요소입니다. 그렇다면 간편성, 안정성, 속도를 모두 갖춘 완전한 에어 갭 솔루션이 있을까요?
퓨어스토리지의 에어 갭 접근 방식
퓨어의 현대적인 가상 에어 갭 접근 방식은, 에어 갭 데이터 벙커의 모든 강점을 제공하면서도 한 가지 중요한 차이점을 가집니다. 바로 더 간단하고 더 빠르다는 점입니다.
그 방법은 다음과 같습니다.
핵심은 퓨어스토리지 세이프모드(Pure Storage SafeMode) 기능에 있습니다. 세이프모드는 안전한 격리 영역을 생성하여 스냅샷이 삭제되지 못하도록 합니다. 이는 사람이 직접 삭제를 시도하거나 프로그램을 통해 접근하더라도 마찬가지입니다. 이 외에도 추가적인 인적 보호 장치를 통해 보안이 강화됩니다. 누군가 스냅샷을 수동으로 삭제하려 할 경우 퓨어 솔루션의 실시간 대화형 지원을 요구하며, 이는 또 하나의 추가 보호막을 제공하게 됩니다.
두번째로, 간편성이 뛰어납니다. 내장된 자동화 기능과 사전 설정된 타이머 덕분에 프로그래밍 방식이나 물리적 에어 갭을 유지하기 위한 추가 작업 없이도 안심할 수 있습니다.
마지막으로, 안타까운 사실이지만, 데이터 복구 속도가 기업 운영, 평판, 재정에 미치는 주요한 영향을 막을 만큼 빠르지 않다면, 데이터 보호를 위해 기울였던 모든 노력은 무용지물이 됩니다. 퓨어스토리지는 플랫폼이나 기반 기술(예: 포인터 기반 스냅샷 또는 업계 최고의 처리량)에 관계없이 기업 운영에 지장을 주지 않을 만큼 빠른 복구 속도를 제공할 수 있습니다.
Part 2: Bunkered, Tiered Backup Architectures
- https://www.nytimes.com/2021/05/10/us/politics/pipeline-hack-darkside.html
*Pure products do not support WORM capabilities.
