[랜섬웨어 공격 대비 ‘3-2-1 백업’ 가이드] ‘3 전략’ 집중분석

2020. 05. 25 | 블로그

최근 랜섬웨어 공격이 급증하면서 중, 소규모 업체들의 피해가 많이 발생하고 있습니다.

이로 인해 다양한 업체에서 백업, 보안 등 데이터를 지키기 위한 관심이 증가하고 있습니다. 이에 지난번에 포스팅 한 ‘3-2-1 백업’ 내용 중 ‘3 전략’ 방법 및 백업 관리 방법을 소개하겠습니다.

* 해당 포스팅은 랜섬웨어 공격 대비 3-2-1 백업 가이드의 ‘3 전략’ 시리즈입니다. 3-2-1 백업 가이드를 보시려면 아래 링크를 참조해주세요.

https://www.didim365.com/blog/20200422b-blog/

‘3-2-1 백업’의 ‘3 전략’ 핵심은 ‘중요 데이터에 대해 기본 데이터 1개, 백업 데이터 2개의 복사본 총 3개를 보관’입니다. 해킹 수준이 높아지면서 이제는 단순히 하나의 백업 파일로는 소중한 데이터를 지켜낼 수 없습니다. 이러한 문제로 ‘3 전략’에서는 백업 파일을 2개 이상 보관하도록 안내하고 있습니다.

‘3 전략’ 예시)

위 사진과 같이 ‘3 전략’ 조건은 단순히 백업 데이터 총 3개(기본 데이터 1개, 백업 데이터 2개) 이상 보유하고 있다면 조건을 충족하게 됩니다.

하지만 ‘3-2-1 백업’의 경우 3-2-1 전략 조건이 모두 성립해야 랜섬웨어에 대응 가능한 효과를 발휘할 수 있습니다. 위 사진에서 ‘3 전략’의 조건이 충족되었더라도 ‘2-1 전략’이 적용되지 않았기에 랜섬웨어 공격을 방어할 수 없습니다.

‘3 전략’만 적용한 문제점 예시)

위 사진과 같이 ‘3 전략’에 맞게 데이터를 백업했지만 한 서버 내에 기존 데이터, 백업 데이터를 함께 보관하고 있어 서버가 랜섬웨어에 공격 피해를 보는 순간 백업 데이터까지 함께 잠기게 되어 데이터를 복구할 수 없는 상황이 발생하게 됩니다.

‘3-2-1 백업’ 조건에 맞게 백업 환경을 구축하더라도 백업을 위한 제대로 된 정책이 없다면 어떤 문제 발생 시 대응에 어려움이 있을 수 있습니다. 그렇기에 다양한 백업 방법을 도입하기 전 백업 정책 수립이 필요합니다. 백업은 사용자의 실수나 컴퓨터의 오류, 바이러스, 정전 등으로 원본이 손상되거나 잃어버릴 경우를 대비하여 원본을 미리 복사하는 작업으로, 큰 문제가 발생하지 않는 경우 대부분 사용하지 않는 파일입니다.

때문에 많은 기업들이 단순히 백업되도록 설정만 해놓고 이후 관리를 제대로 하지 않아 실제 백업 파일을 사용해야 할 때 문제가 발생하여 정상적으로 데이터를 복구하지 못하는 경우가 발생합니다. 이러한 문제를 방지하기 위해 백업 설정만이 아닌 관리, 감사 등의 정책을 수립하여 실제 데이터처럼 관리될 수 있도록 조치해야 합니다.

1. 백업 담당자를 지정하라!

단순히 백업 설정 후 끝내는 것이 아닌 백업 용량은 문제없는지, 백업이 주기적으로 진행되고 있는지 등의 백업 관련 업무를 담당할 백업 담당자를 지정하여 관리합니다.

담당자가 없는 경우 백업에 문제(ex : 용량 부족으로 백업 실패)가 발생했음에도 인지하지 못하는 경우가 발생하며, 실제 필요한 긴급 상황에서 백업 파일로 정상적인 데이터를 복구하지 못할 수도 있습니다. 인력 및 예산에 여유가 있는 경우 별도의 백업팀을 구성하는 것이 좋지만 그렇지 못한 경우 시스템운영팀, 정보보호팀 등의 백업 시스템에 대한 운영 능력을 보유한 부서의 구성원이 백업 업무까지 겸직하여 백업 시스템에 문제없도록 관리해야 합니다.

[업무 담당자]

기업의 응용프로그램, 서버, 데이터베이스 등의 기획, 관리, 운영 업무를 수행하는 현업 담당자로서 백업 정책 설정 시 백업 대상, 유형, 시간 등에 대한 요구사항을 작성합니다.

– 주요 업무

ㆍ백업 대상 시스템, 백업 유형, 백업 주기, 작업 시간 등 요구사항 제시

ㆍ신규 백업대상 시스템의 백업 요청

ㆍ기존 백업 데이터 장애 시 복구 요청

ㆍ연간 백업 대상에 대한 백업 세부계획서 작성

ㆍ백업 장애 발생 시 백업 운영자에게 요청

[업무 팀장]

업무 담당 팀장은 업무 담당자에게 응용시스템, 서버, 데이터베이스 등에 실질적인 운영에 대하여 이행 지시를 하며 중소기업의 경우 업무 팀장은 전체 IT인프라에 대한 총괄 업무를 담당합니다.

– 주요 업무

ㆍ담당 시스템에 백업 계획 작성

ㆍ업무 담당자에 시스템 운영 및 복구 지시 등

ㆍ백업 운영부서에 백업 요청

ㆍ백업 데이터의 복구 요청

ㆍ백업 장애 발생 시 백업 운영자에게 요청

[백업 운영자]

백업 작업 수행, 백업 매체 관리 등의 업무를 수행하는 담당자로서, 현업 업무 담당자로부터 백업 대상시스템 백업 요구 사항을 수렴하여 적용합니다. 중소기업의 경우 업무 담당자가 백업 운영업무를 겸직할 수 있습니다.

– 주요 업무

ㆍ신규 백업 대상 시스템 구성 및 추가

ㆍ백업 및 복구 수행

ㆍ모의 백업 및 복구 훈련

ㆍ백업 수행 결과 모니터링

ㆍ백업 장비 및 백업 매체 관리

ㆍ백업 장애 발생 시 처리

ㆍ침해사고 발생 시 정보보호부서 협조

[백업운영팀장]

기업의 사내 백업 관련하여 이행을 위해 최종 검토 및 승인 처리업무를 수행하는 것으로, 일정 규모 이상의 기업은 해당 업무를 분리하여 운영하나 중소기업의 경우 업무 팀장이 해당 업무를 수행합니다.

– 주요 업무

ㆍ백업 운영자 지정

ㆍ백업 및 복구 요청서를 승인

ㆍ백업 및 복구 Data 검수 결과를 승인

ㆍ적용 업무 Data와 관련된 비정기 백업 사유를 승인

ㆍ백업시스템 장애 및 보안상 이슈 발생 시 정보보호 부서 협조 요청

[정보보호담당자]

기업 내 정보보호담당자는 전사 정보시스템에 대하여 보안 활동을 담당하는 역할을 수행합니다. 정보보호담당자가 없는 경우 전산 부서에 정보보호담당자를 지정하여 운영할 수도 있습니다.

– 주요 업무

ㆍ백업 소프트웨어 도입 시 보안성 검토

ㆍ백업 데이터의 (백업, 소산 등)의 선정 시 위험 분석

ㆍ백업 시스템 네트워크 구성 및 시스템 접속 이력 검토

ㆍ백업 시스템 자산에 대한 중요도 산정

ㆍ백업 정책 선정 시 보안성 검토

ㆍ백업 대상 데이터의 무결성 검증 여부 진단

ㆍ연간 정보보호 교육계획 수립 및 이행

ㆍ연간 백업 시스템, 네트워크에 대한 취약점 진단

[정보보호위원회]

기업의 전사 정보보호 정책의 결의 및 중요 이슈 사항에 대하여 각 현업부서 팀장, 정보보호팀장, 경영진으로 구성된 최고 의결기구를 말합니다. 일반적으로 일정 규모 이상의 기업에 조직되어 주요한 정책 및 이슈를 협의하나 중소기업의 경우 업무 환경상 별도 의결기구는 구성되어 있지 않을 수 있습니다.

– 주요 업무

ㆍ위원회는 중요 시스템 백업 정책에 대한 의결 및 승인

ㆍ중요 서비스 및 데이터 유실 발생 시 담당자 긴급 소집

ㆍ유실된 데이터 복구 방안 협의 및 이행 지시

ㆍ연간 시스템 운영에 대한 예산안 결의

2. 백업 절차를 문서화하라!

백업은 시스템 종류, 백업 대상 및 방식에 따라 다양합니다. 또한 백업 파일은 실제 데이터를 복사한 파일이기에 비인가자에게 유출되지 않도록 보안을 유지하여 관리해야 합니다. 따라서 ‘누가 요청한 백업인지’, ‘누구의 승인을 받았는지’ 등 절차를 상세하게 문서화하여 백업 절차를 설계해야 합니다.

예시)

3. 복구 절차를 문서화하라!

백업 절차만큼이나 복구 절차 또한 중요합니다. 백업 절차를 잘 설계하여 백업 파일을 관리하고 있더라도 실제 백업 파일을 사용해야 할 상황(ex : 재해, 재난, 해킹)은 일반적으로 많이 발생하지 않습니다.

그렇기에 실제 장애 발생으로 복원 작업 시 명확한 절차가 없으면 처리자의 실수, 동일 장애에 대한 방지 대책 마련에 어려움이 있을 수 있어 백업 절차와 같이 중요하게 관리할 수 있도록 복구 절차를 설계해야 합니다.

예시)

지금까지 ‘3-2-1 백업’ 중 ‘3 전략’ 방법과 ‘3가지 백업 절차’를 소개했습니다. 랜섬웨어 공격은 복구가 불가능하도록 시스템을 장악하여 금전을 요구하고 있기 때문에 백업은 더 이상 권장사항이 아닌 필수입니다.

단순한 백업 설정만이 아닌 백업 담당자를 지정하여 백업 시스템을 주기적으로 관리하고 랜섬웨어 공격으로부터 소중한 데이터를 지켜내시길 바랍니다. 감사합니다.

작성 : 정보보안센터