image_pdfimage_print

Pure Accelerates Hospital’s Recovery from Ransomware Attack

4월 어느 조용한 토요일 아침, 미국 대도시의 한 주요 병원에서 의료진들이 전국적으로 퍼지고 있는 코로나바이러스 의심 환자 발생에 대비하여 바쁘게 준비하고 있었습니다. 하지만 관리 직원이 병원의 IT 시스템에 로그인하려고 했을 때, 다음과 같은 예상치 못한 메시지를 받았습니다. “해당 애플리케이션은 사용 불가합니다.” 의사 및 간호사들도 EMR 기록을 비롯한 핵심적인 애플리케이션에 접근을 시도하였을 때 비슷한 메시지를 받았습니다.

IT 부서는 다수의 윈도우 OS와 서버가 이상하게도 암호화되어 있다는 것을 발견했습니다. 이내 파일 시스템에 심어진 작은 텍스트 파일 하나를 확인할 수 있었습니다. “당신의 서버는 암호화되었습니다. 암호를 해독하려면 이메일을 보내세요.” 이때, 4년 전 설치한 퓨리티 운영 환경(Purity Operating Environment)의 일환인 퓨어스토리지 플래시어레이(FlashArray™) 데이터 스토리지 시스템의 용량이 113%까지 초과되었습니다. 멀웨어가 스스로 복제하기 시작하면서 더욱 많은 시스템에 영향을 주기 시작한 것입니다.

어레이는 거의 5:1의 비율로 데이터가 압축된 상태로 운영되었으며, 데이터가 암호화되고 다시 쓰이면서 쓰기 대역폭이 50배 증가하여 결국 물리적인 공간이 모두 소진되고 새롭게 들어오는 쓰기 작업을 거부하는 상태에 이르렀습니다. 병원은 랜섬웨어 공격을 받고 있다는 것을 깨닫고 해커와 협상하기를 거부하며 데이터 센터에 들어오고 나가는 모든 네트워크 트래픽을 즉각적으로 차단하였으며, 포렌식을 위해 암호화된 서버를 격리하였습니다.

어레이는 해당 기간 동안 쓰기가 중단되었으나 계속 운영되며 접근 가능한 상태로 유지되었으며, 이를 통해 보안팀에서 실시간으로 공격을 모니터링 및 관찰하며 대책을 세울 수 있었습니다. IT 팀은 실질적인 범죄 현장을 지속적으로 모니터링하고 부하가 걸린 인프라를 살펴보았습니다.

랜섬웨어 복구를 위한 계획 세우기

병원의 레거시 IT 인프라는 단일 어레이 위에 구축된 단일 데이터센터로 하나의 네트워크에서 백업이 수행되었기 때문에, 관리자들은 시스템 데이터 복제본에 접근할 수 없었습니다. 이로 인하여 병원의 IT 시스템과 애플리케이션을 사용할 수 없게 되었습니다. 그 결과 의료진은 문제가 해결되는 동안 종이와 전화를 통해 소통하는 비상 백업 프로세스를 택해야 했습니다.

그동안 병원의 IT 부서는 퓨어스토리지 고객 지원 센터에 연락을 취했습니다. 여기에서는 시간이 매우 중요했습니다. 병원은 이러한 비상 프로세스를 장시간 수행할 여유가 없기 때문입니다.

퓨어스토리지 지원팀은 즉각적으로 대응하였으며, 플래시어레이에 추가비용 없이 포함되어 있는 퓨어스토리지 스냅샷을 통해 애플리케이션과 데이터 세트의 사용가능한 복제본에 접근할 수 있다고 설명했습니다. 퓨어스토리지 스냅샷은 백업 데이터와 관련 메타데이터 카탈로그의 읽기 전용 스냅샷으로 완전한 백업이 이루어진 뒤에 생성됩니다. 이를 통하여 랜섬웨어 공격자가 변경하거나 영향을 줄 수 없는 데이터 복제본이 만들어집니다. 이는 병원의 네트워크 데이터가 복구될 수 있다는 뜻이며, 시스템은 몇 주가 아닌 며칠, 혹은 몇 시간 안에 재구축되어 신속하게 정상 운영으로 돌아갈 수 있습니다.

병원과 퓨어스토리지는 빠르게 합동 팀을 구성하여 기존 어레이에 용량을 추가하고 복제 및 복구에 사용할 수 있는 새로운 어레이를 추가할 계획을 세웠습니다. 퓨어스토리지는 바로 당일에 새로운 플래시어레이를 발송하고 엔지니어를 배치해 어레이를 설치한 후, 밤 시간 동안 스냅샷을 기반으로 새로운 어레이에 복제되도록 하였습니다. 합동팀은 스냅샷을 통해 신속하게 액티브 디렉토리(Active Directory), DNS, DHCP 등의 핵심 서비스를 복구하고 그 건전성을 확인할 수 있었습니다.

며칠 만에 핵심 IT 운영 복구하기

추가적인 인프라가 도착하고 몇 시간 뒤, IT 팀은 병원의 복구된 데이터 시스템을 정상 운영하기 시작하여 비상 운영 절차를 끝낼 수 있었습니다.

공격이 한창일 때도 병원의 IT 팀은 기존의 플래시어레이가 스토리지 용량을 넘어 113%까지 이르러도 건전성을 유지하고 주요 데이터를 보호한다는 것을 확인하였습니다. 이는 아키텍처의 복원성을 잘 보여주는 사례입니다.

병원의 IT 매니저는 당시를 회상하며 “퓨어스토리지 고객 지원 센터와 어카운트 팀의 도움 없이는 불가능했을 것입니다. 퓨어스토리지의 즉각적인 대응과 잘 조율된 팀워크 덕분에 핵심적인 서비스를 복구할 수 있었고, 며칠 만에 다시 이를 구동하고 건전성까지 확인할 수 있었습니다.” 라고 말했습니다.

그는 또한 병원의 모회사에서도 더욱 광범위한 IT 통합 노력의 일환으로 퓨리티 운영 환경을 도입하고, 더욱 현대적인 네트워크를 구축하며 조직 전체에 배치할 예정이라고 밝혔습니다.

전염병 발생 시 지역 보건 요구사항 충족하기

이제 해당 병원의 의료진과 관리자는 신뢰를 가지고 IT 네트워크 리소스를 이용하여 환자를 지원하고, COVID-19 테스트를 수행하며, 추가적인 잠재적 의심 환자 수용에 대비합니다.

랜섬웨어 복구 프로세스를 통해 쌓은 경험과 플래시어레이의 스냅샷에 대한 인식 제고는 IT 매니저에게 향후 비슷한 사이버 공격이 발생하더라도 퓨어스토리지의 지원과 함께라면 방어할 수 있고, 환자의 니즈가 가장 우선시될 수 있다는 확신을 주었습니다.