[랜섬웨어 공격 대비 ‘3-2-1 백업’ 가이드] ‘2 전략’ 집중분석

2020. 06. 25 | 블로그

안녕하세요. 디딤365입니다.

지난번에 포스팅 한 ‘3-2-1 백업’ 내용 중 ‘3 전략’에 이어 ‘2 전략’ 방법 및 백업 관리를 소개하겠습니다.

지난번 ‘3 전략’은 아래 링크를 참조 바랍니다.

3-2-1 백업의 ‘2 전략’ 핵심은 ‘위험으로부터 데이터를 보호하기 위한 2개 이상의 서로 다른 미디어 유형의 백업 데이터 보관’입니다. 사용자의 데이터를 인질로 사용자에게 돈을 요구하는 랜섬웨어는 예전과 같이 같은 공간에 데이터를 백업하는 방법으로 데이터를 지킬 수 없습니다. 이러한 문제로 2 전략에서는 백업 파일을 2개 이상의 서로 다른 미디어에 보관하도록 안내하고 있습니다.

2 전략 예시)

위 사진과 같이 2 전략 조건은 2개 이상의 다른 미디어에 데이터를 보관하고 있다면 조건을 충족하게 됩니다.

하지만 3-2-1 백업의 경우 3-2-1 전략 조건이 모두 성립해야 랜섬웨어에 대응 가능한 효과를 발휘할 수 있습니다. 위 사진에서 2 전략의 조건이 충족되었더라도 3-1 전략이 적용되지 않았기에 랜섬웨어 공격을 방어할 수 없습니다.

2 전략만 적용한 문제점 예시)

위 사진과 같이 2 전략에 맞게 서로 다른 미디어 데이터를 백업했지만 서버와 백업 서버는 같은 네트워크망에 있습니다. 해커가 서버 해킹 후 같은 네트워크에 있는 백업 서버까지 감염시킨 후에 동시에 랜섬웨어 공격을 실행한다면 백업 서버에 백업한 데이터까지 함께 잠기게 되어 데이터를 복구할 수 없는 상황이 발생하게 됩니다.

3-2-1 백업 조건에 맞게 백업 환경을 구축하더라도 적절한 관리가 진행되지 않는다면 오히려 데이터 유출의 피해가 발생할 수 있습니다. 외장 USB, 테이프 등 사람이 쉽게 들고 다닐 수 있는 미디어에 중요한 데이터를 백업 후 관리하지 않는다면 분실, 도난 등의 문제로 데이터가 유출되는 사고가 발생할 수 있으며 백업 서버 또한 OS 보안 업데이트, 백신 프로그램 사용 등 적절한 보안 조치 및 관리가 이뤄지지 않는다면 취약함으로 인한 보안 사고가 발생할 수 있습니다. 이러한 문제를 방지하기 위해 백업 미디어 보안 조치 및 관리가 필요합니다.

백업 미디어 변경 이력을 관리하라!

데이터 백업, 변경 등의 요청 시 관리대장 및 솔루션을 갖추어 백업 미디어에 대한 이력을 관리합니다. 백업 파일은 실제 데이터의 내용을 갖고 있음으로 적절한 관리가 필요합니다. 신원 확인 절차 없이 백업, 변경 등의 요청을 자유롭게 허용한다면 백업 데이터 유출, 변조 등의 보안 사고가 발생할 수 있으며 사고 발생 시 원인 파악에 어려움이 발생하기 때문에 다양한 관리대장 및 솔루션을 이용하여 이력을 남기도록 조치해야 합니다.

KISA 문서 참고 예시 1)

KISA 문서 참고 예시 2)

백업 미디어 접근은 최소한으로 통제하여 관리하라!

백업 미디어에 제한 없이 누구나 접근할 수 있다면 다양한 공격 시도가 발생할 수 있고 외부에 노출되어 있어 보안에 취약해집니다. 백업운영자는 백업 시스템에 IP 할당 이후 허용된 영역에서만 백업 시스템에 접근하도록 조치합니다. 또한 백업 업무 담당자는 백업 시스템에 접근 시 지정된 PC 및 콘솔에서 수행하는 것을 원칙으로 하되 시스템 유지보수를 위한 접근은 예외로 허용합니다.

백업 시스템 접근은 다양한 PC에서 접근할 수 있도록 허용하는 것이 아닌 최소한으로 허용(ex : 전산실 내 지정된 PC)하여 접속할 수 있도록 통제합니다. 외부에서 작업이 필요하여 불가피하게 접근이 필요한 상황인 경우에는 보안에 취약할 수 있으므로 허용 전 외부 PC에 충분한 보안 조치 이후에 접근을 허용합니다.

백업 데이터 반입, 반출이 필요한 경우에도 인가된 사용자만 가능하도록 접근 제어하며 관리대장 및 솔루션을 이용하여 반입, 반출 시 이력을 남기도록 조치합니다.

KISA 문서 참고 예시 1)

백업 업무 관련 담당자는 백업 시스템에 대한 접근 권한 부여 시 다음 사항을 준수합니다.

– 시스템 접근 권한은 부여는 백업담당자 혼자서 진행하는 것이 아닌 백업관리자(팀장)과 정보보호 주관부서의 승인을 받고 진행합니다.

– 유지보수, 장애처리 등 업무적인 필요성에 의하여 협력직원에게 접근 권한 할당한 경우 권한은 업무 종료 시 즉시 권한을 삭제합니다.

– 정보보호 담당자는 주기적으로 접근 권한이 적절히 설정되어 있는지 검토합니다.

– 백업담당자는 연속으로 3회 이상 패스워드 오류 발생에 대하여 로그내역을 검토합니다.

– 업무상 지속해서 접속할 필요가 있는 중요 장비는 IP주소 기반의 접근 통제를 합니다.

3-2-1 백업 중 ‘2 전략’을 소개했습니다. 백업은 실사용 중인 데이터의 다양한 장애 발생 시 복구하기 위한 안전장치입니다.

하지만 실사용 중인 데이터에 큰 문제가 발생하는 상황은 자주 일어나지 않기 때문에 초기 개발 단계인 경우를 제외한 상황에서 백업 파일을 사용하는 경우는 많이 없습니다. 그렇기에 백업 파일에 대한 중요성이 떨어지며 관리에 소홀해지거나 백업에 대한 필요성을 많이 느끼지 못하게 되면서 백업 시스템 보안에 문제가 발생하게 됩니다.

랜섬웨어와 같은 공격 발생 시 빠르게 데이터를 복구하는데 사용할 수 있도록 백업 미디어를 철저하게 관리 감독하시길 바랍니다. 감사합니다.

작성 : 정보보안센터 김준호 대리

편집 : 전략사업본부 조항준 주임