랜섬웨어 공격을 대비한 ‘3-2-1 백업’ 가이드

2020. 04. 22 | 블로그

안녕하세요 디딤365입니다.

이번 포스팅에서는 특정 타깃을 정해 공격하고 지능형 지속 위협(Advanced Persistent Threat, APT) 형태로 많은 기업에 피해를 입히는 랜섬웨어 공격을 대비하기 위한 ‘3-2-1 백업 방법’에 대해 소개하겠습니다.

랜섬웨어란?

‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다.

현재까지 랜섬웨어에 감염된 경우 기술적으로 복원할 방법은 없으며, 백업 파일 또는 해커에게 비용 지불해서 복원해야 합니다. 단, 해커에게 비용을 지불해도 100% 복원이 보장되지 않기에 권장하는 방법은 아닙니다. 이같은 랜섬웨어 공격 피해는 매년 꾸준히 증가하고 있습니다.

‘3-2-1 백업’이란?

US-CERT(United States Computer Emergency Readiness Team)에서 컴퓨터 사용자를 대상으로 데이터 백업 옵션(Data Backup Options)이라는 문서에서 소개된 데이터 보호 규칙으로, 장애 방지 시나리오를 구현하는 것입니다.

3 – 중요 데이터에 대해 기본 데이터 1개, 백업 데이터 2개의 카피본 총 3개를 보관합니다.

2 – 서로 다른 위험으로부터 보호하기 위해 2가지 서로 다른 미디어 유형에 보관하십시오.

1 – 복사본 하나는 오프사이트(예: 집 또는 업무 시설 외부)에 보관하십시오.

그럼 지금부터 한 가지 방법씩 상세히 소개하겠습니다.

3. 기본 데이터를 제외한 최소 2개 이상의 백업 데이터를 보유하라!

기본 데이터 외 2개 이상의 백업 데이터를 보유하는 것이 ‘3’번 조건의 핵심 지침입니다. ‘3’번 조건에서는 백업 구성, 위치 등은 잠시 잊고 백업 데이터 2개 이상을 보유하자는 조건만 생각하시면 됩니다.

2가지의 백업 구성을 예시로 들어보겠습니다.

위 2가지 구성을 보시면 ‘B’ 구성이 “보안상 더 좋다.” “당연하다.” 생각하실 겁니다. 하지만 ‘B’ 구성의 경우 백업 데이터가 2개 이하인 1개만 갖고 있으므로 ‘3’번 조건을 충족하지 못하는 구성이며 백업 데이터를 2개 이상 가진 ‘A’ 구성이 ‘3’번 조건에 적합하도록 만들어진 구성입니다.

단, ‘A’ 구성은 이해를 돕기 위한 예시일 뿐 ‘A’ 구성과 같이 한 공간에 여러 개 백업된 데이터는 랜섬웨어 공격을 대응할 수 없고 절대로 구성하면 안 되는 잘못된 방식입니다!

위와 같은 문제들은 ‘2’번, ‘1’번 조건에서 해소될 것이기에 ‘3’번 조건에서 말하고자 하는 의미만 이해하시면 됩니다.

2. 다른 장치에 백업 데이터를 저장하라!

2개 이상의 백업 데이터를 서로 다른 장치에 보관하는 것이 ‘2’번 조건의 핵심 지침입니다. ‘2’번 조건에서는 어떤 장치를 사용하든 2개 이상의 백업 데이터를 서로 다른 장치에 보관하자는 조건만 생각하시면 됩니다.

위 구성은 기본적인 2차 백업 방식입니다. ‘3’번에서 예시로 설명한 ‘A’, ‘B’ 구성을 합쳐 ‘3-2’번 조건에 적합하도록 만들어진 구성입니다. 하지만 ‘3-2’ 조건에 충족하는 구성을 진행했음에도 랜섬웨어에 대응하기에는 문제가 있습니다.

랜섬웨어 공격은 하나의 서버 해킹에 성공하면 즉시 서버를 잠그는 게 아닌 사용자 몰래 같은 네트워크상에 존재하는 다른 서버들을 스캔합니다. 이후 스캔 된 다른 서버가 존재한다면 하나씩 해킹하며 사용자가 복구할 수 없는 상태까지 감염시켰다 판단되는 순간 감염된 모든 서버를 한 번에 잠가버립니다.

하지만 괜찮습니다. 아직 ‘1’번 조건이 남아 있습니다! 여러분은 ‘2’번 조건에서 말하고자 하는 의미만 이해하시면 됩니다.

1. 백업본 하나는 물리적으로 완전히 분리된 곳에 보관하라!

백업 데이터 하나는 반드시 완전히 분리된 공간에 보관하는 것이 마지막 ‘1’번 조건의 핵심 지침입니다. ‘1’번 조건에서는 화재나 침입 등의 사고가 발생할 경우를 대비하여 1개 이상의 백업 데이터를 완전히 분리된 외부에 보관하자는 조건만 생각하시면 됩니다.

클라우드 구성의 경우 Acronis 소산 백업 서비스를 이용하여 분리된 공간인 AWS 클라우드 스토리지에 백업 데이터를 보관하여 보호하는 방식입니다.

물리 구성의 경우 다른 데이터 센터에 벡업 데이터를 보관하고 백업 중에만 통신하며 백업이 완료된 이후에는 백업 서버를 OFF 하는 방식으로 네트워크 차단하여 백업 데이터를 보호하는 방식입니다.

이렇게 최종 ‘3-2-1 백업’ 구성이 완성되었습니다. 모든 랜섬웨어 공격은 점점 고도화되고 치밀하게 여러분의 소중한 자산을 위협하고 있습니다. ‘3-2-1 백업’ 방법을 이용하여 소중한 데이터를 해커로부터 잘 보호하시길 바랍니다. 감사합니다.

작성 : 정보보안센터 김준호 대리

편집 : 전략사업본부 조항준 주임