2부로 구성된 블로그 게시물의 1부입니다. 이 블로그에서는 랜섬웨어 상황에 대한 필자의 개인적인 견해와 함께, 퓨어스토리지의 솔루션 설계 방식을 염두에 두고 권장하는 일반적인 방어 방법을 다룹니다.


지난 몇 년간 랜섬웨어 상황과 공격 억제 방법을 소개하는 데 많은 시간을 할애했는데, 드디어 퓨어스토리지가 랜섬웨어 공격의 영향을 완화할 수 있는 독창적인 기술을 발표하게 되어 자랑스럽습니다.

간단히 말해서, 퓨어스토리지가 업계에서 유일하게 Immutability Plus(데이터 뿐만 아니라 백업의 위변조까지 방지하는 기술), 단순성 및 고속 복구 기술을 접목한 덕분에 랜섬웨어 공격으로 인한 피해를 훨씬 더 효과적으로 복구할 수 있게 됐습니다. 스케일-아웃을 기본으로 지원하고 높은 데이터 처리량을 제공하도록 특별히 설계된 퓨어스토리지의 파일 및 오브젝트 플랫폼인 플래시블레이드(FlashBlade™)가 있기에 가능한 일입니다. 새로운 기능을 소개하자면, 플래시블레이드의 안전 모드(SafeMode)를 통해 지원되는 Immutability Plus(데이터 뿐만 아니라 백업의 위변조까지 방지하는 기술)가 핵심입니다. 이 기술은  사이버 공격으로 인해 플래시블레이드에 저장된 백업 데이터가 손상되는 것을 방지할 수 있으므로 플래시블레이드의 단순성과 신속한 복구(Rapid Restore) 기능이 훨씬 더 큰 효과를 발휘합니다.

먼저, 플래시블레이드가 방어하는 랜섬웨어 공격에 대해 좀 더 면밀히 살펴보겠습니다.

지속적으로 증가하는 공격 – 그 이유는 무엇인가?

이 글을 읽고 있는 분이라면 랜섬웨어 공격이 매일 발생한다는 사실을 이미 알고 계실 것입니다. 구글 뉴스만 검색해도 쏟아져 나올 테니 굳이 통계는 인용하지 않겠습니다. 독일 철도 도이치반(Deutsche Bahn) 열차 시간표 모니터를 표적으로 삼았던 워너크라이(WannaCry) 공격 사례가 몇 년 동안 필자의 머리를 떠나지 않았습니다. 사망 선고나 다름없는 Windows의 블루 스크린이 공항에 뜬 셈이지만 훨씬 더 심각했습니다.

How to Protect Against Ransomware Attacks

랜섬웨어가 경제적으로 미치는 영향이 2015년에서 2019년 479배나 증가했다는 기사가 있을 정도로 랜섬웨어 피해에 대한 위협이 빠르게 고조되고 있습니다. (ZDNetTechRepublic) 랜섬웨어 피해 금액의 정확한 수치는 집계하기 어렵지만, 2015년부터 2019년 사이에 약 두 배 이상 증가한 것으로 추정됩니다.

랜섬웨어 피해 우려가 증가하는 상황에서 업계가 왜 이 문제를 해결하지 못하는지 궁금할 것입니다. 토론과 연구 과정에서 다음과 같은 몇 가지 주요 문제를 발견할 수 있었습니다.

  • 공격 비용 대비 소득의 불균형 – 현실적으로 명확한 경제 요인입니다. 간단히 말해서, 사이버 범죄자가 끈질기게 공격하는 데는 큰 비용이 들지 않는 반면, 피해자는 비싼 대가를 치릅니다. 요컨대, 비용 대비 이익 면에서 공격자에게 단연 유리합니다.
  • 최신 IT 스택의 복잡성 – 최신 IT 데이터센터 스택에는 꾸준히 업데이트, 패치, 강화해야 할 사항이 너무 많습니다. 이를 “터무니없이 많은 공격 경로”라고도 합니다.
  • 지불 방법 – 비트코인이나 기타 암호 화폐가 비교적 믿을만한 익명의 지불 방법으로 꾸준히 애용되고 있습니다.
  • 서비스형 랜섬웨어(Ransomware-as-a-Service) 키트 – 온라인 검색에 능숙한 사람이라면 누구나 쉽게 입수할 수 있습니다. 공격자는 여러 가지 필요한 기술과 사용되는 암호화 방식 등을 갖춘 키트를 구입할 수 있습니다.

필자는 언젠가 ‘블랙 유머’ 게시판에서 “과거의 문제를 해결하도록 설계된 제품에 저장된 대량의 데이터를 예기치 않게 복구해야 하는 문제”라고 정의된 랜섬웨어 공격도 있다는 말을 본 적이 있습니다. 운영 및 백업 시스템을 동시에 재해복구해야 하는 경우가 그렇습니다.

관심이 있으시다면, 필자가 훨씬 더 많은 보안 문제를 다루고 있으니 이와 관련한 블로그 게시물을 꾸준히 주시하여 주시길 바랍니다.

방어하는 방법

보안을 다룬 많은 자료에서 주장하듯 ‘심층 방어’가 필요합니다. 이 문제를 설명할 때 다루는 주요 방어 범주는 다음과 같습니다.

Ransomware Attack Defense

각 범주에서 주어지는 많은 선택지가 상황을 복잡하게 만드는데, 2번이 특히 그렇습니다. 공격 경로가 워낙 많다 보니 관리자 관점에서 기술적으로 방어 상태를 유지하기 버거울 수 있습니다.

참고: 이 블로그에서 중점적으로 다루고 있지 않지만, 플래시블레이드는 Splunk 환경의 속도와 단순성을 크게 개선시킬 수 있으며, Splunk는 랜섬웨어 공격 탐지 및 방어를 지원합니다. 본문 하단에 게재된 링크들을 참조하십시오.

그러나 단단히 마음먹은 공격자는 종종 다계층의 방어를 뚫는 방법을 짜내기도 합니다. 이 경우 백업이 최후의 보루입니다. 이론상으로는 어렵지 않습니다. 신뢰할 수 있는 많은 온라인 소스에 의존한 백업이 중요하다는 사실은 누구나 알고 있습니다. 예를 들어 미국 보건복지부는 병원에 다음과 같이 권고하고 있습니다.

“빈번히 백업을 수행하고 백업에서 데이터를 복구할 수 있는 능력을 보장하는 것은 랜섬웨어 공격으로부터 회복하고 랜섬웨어의 영향을 받는 개인 건강 정보(PHI)의 무결성을 보장하는 데 매우 중요하다.”

랜섬웨어 팩트 시트: https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf

이론처럼 쉽지 않은 현실

그렇다면 이론대로 백업 데이터를 복구하면 간단한데 도대체 왜 고객이 해커가 요구하는 금액을 지불하고 마는 것일까요? 모든 독자가 짐작하듯, 가장 필요할 때 효과적이거나 빠르게 백업이 이뤄지지 않는 경우가 빈번하기 때문입니다. 백업 실패는 초보 관리자가 사실상 일상적으로 겪는 통과 의례입니다.

그러나 랜섬웨어가 수반된 경우 백업 실패, 백업 데이터 손상 또는 느린 복구의 영향은 훨씬 더 심각해집니다. 그래서 그런지 ‘충격이 크지만 확률은 낮은(High Impact, Low Probability)’ 사고라는 생각과 이를 방지하는 최선의 방법이 자연스레 떠오릅니다.

매우 복잡하고 일상적인 관리를 필요로 하는 시스템(예: 백업용 테이프 드라이브)은 이런 사고가 발생할 경우에 대비되어 있지 않을 가능성이 높습니다. IT 부서의 입장에서 시스템의 가용성을 유지하는 것은 일상적인 작업입니다. 랜섬웨어는 꾸준히 증가하는 위협이지만, 데이터센터의 가용성을 유지하는 데 필요한 모든 일상적인 작업에 비하면 랜섬웨어로부터의  복구(‘확률은 낮은’ 사고)는 흔한 일이 아닙니다. 이 부분에서 단순성이 전면에 나서게 됩니다.

백업이 순조롭게 이뤄지더라도 안심하기는 이릅니다. 백업 데이터 및 백업 카탈로그를 노리거나 심지어 스토리지 어레이 스냅샷마저 노리는 랜섬웨어 공격이 발생하고 있기 때문입니다. 자칫하면 최악의 상황으로 치달을 수 있습니다.

마지막으로, 대부분의 백업 시스템은 짧은 시간 내에 고객 환경의 대부분을 복구할 수 있도록 설계되지 않았습니다. 복구하는 데 몇 달이나 걸린 고객이 많기 때문에, 랜섬웨어 공격으로 손상된 데이터를 복구할 때는 복구 속도가 가장 중요합니다.

이번 블로그 게시물의 분량이 많은 관계로 2부로 나눴으며 조만간 2부를 게시할 예정이니 계속 지켜봐 주십시오. 그동안 퓨어스토리지를 통해 랜섬웨어 공격으로부터 방어하는 방법과 퓨어스토리지 플래시브레이드가 랜섬웨어 공격 방어에 효과적인 이유를 확인하세요.

다음의 자료들을 통해 퓨어스토리지와 랜섬웨어에 대해 보다 자세히 알아보세요