[랜섬웨어 공격 대비 ‘3-2-1 백업’ 가이드] ‘1 전략’ 집중분석

2020. 07. 31 | 블로그

안녕하세요. 디딤365입니다.

지난번에 포스팅 한 ‘3-2-1 백업’ 내용 중 ‘3 전략’ 및 ‘2 전략’에 이어 마지막 ‘1 전략’ 방법 및 백업 관리를 소개하겠습니다. 지난번 포스팅들은 아래 링크를 참조 바랍니다.

[랜섬웨어 공격 대비 ‘3-2-1 백업’ 가이드] ‘3 전략’ 집중분석

https://blog.naver.com/didim365_/221977860411

[랜섬웨어 공격 대비 ‘3-2-1 백업’ 가이드] ‘2 전략’ 집중분석

https://blog.naver.com/didim365_/222011798073

3-2-1 백업 중 1 전략 핵심은 화재나 침입 등의 사고가 발생할 경우를 대비하여 복사본 하나는 분리된 다른 공간에 보관하는 것 입니다. 랜섬웨어 공격은 데이터를 인질로 비용 지급을 요구하고 있는데요, 만약 사용자가 백업 파일을 보유하고 있다면 백업 파일을 이용하여 새로운 환경에 데이터를 복구할 수 있습니다.

그렇기에 해커 입장에서 랜섬웨어를 이용하여 사용자에서 금전을 요구하는 과정에 있어 백업 파일은 반드시 사용할 수 없도록 만들어야 할 데이터 중 하나입니다. 해커에게서 백업 파일을 지키기 위해 1 전략에서는 백업 파일을 분리된 공간에 보관하도록 안내하고 있습니다.

1 전략 예시)

위 사진과 같이 1 전략 조건은 백업 파일을 외부에 보관하는 것입니다. 하지만 사전에 소개되었던 3, 2 전략과 같이 1 전략 또한 3-2-1 조건이 모두 성립해야 랜섬웨어에 대응 가능한 효과를 발휘할 수 있습니다. 위 사진에서 1 전략의 조건이 충족되었더라도 3-2 전략이 적용되지 않았기에 랜섬웨어 공격을 완벽하게 방어할 수 없습니다.

1 전략만 적용한 문제점 예시)

1 전략 조건에 맞게 분리된 다른 데이터센터에 데이터를 백업하고 있습니다. 하지만 데이터 백업을 위해 서버와 백업 서버 사이에서 사용하는 통로를 이용해 해커는 서버에서 백업 서버로 악성코드를 전송 후 랜섬웨어를 감염시킬 수 있습니다. 위와 같이 백업 서버까지 감염시킨 후 동시에 랜섬웨어 공격을 실행한다면 백업 서버에 백업한 파일까지 랜섬웨어에 감염되어 서비스를 복구할 수 없는 상황이 발생하게 됩니다.

1 전략 조건만 생각하고 백업 환경을 구축했을 때 위와 같은 문제 또는 실제 백업 파일을 사용해야 할 상황에서 다양한 애로사항이 발생할 수 있습니다. 이러한 문제 해소를 위해 1 전략 구축 과정에 고려해야 할 사항들을 소개합니다.

■ 적절한 백업 RTO(Recovery Time Objective)를 결정합니다.

분리된 공간에 백업 시 백업 파일이 필요하여 사용해야 하는 상황에서 거리에 따라 백업 파일을 가져오는 데까지 소요되는 시간이 길어질 수 있습니다. 백업 구축 전 내부적으로 수용 가능한 RTO를 검토합니다. 예를 들어 같은 건물에서 다른 층에 백업 파일을 보관하고 있다면 데이터 복원에 드는 시간은 짧아지게 되어 빠른 대응이 가능하게 됩니다.

하지만 화재 발생으로 건물 전체가 피해를 입은 상황이라면 다른 층에 백업한 데이터 또한 손실되어 데이터 복원에 많은 시간이 소요되는 문제가 발생할 수 있습니다. 즉 백업 파일 보관 위치가 멀어지면 위험 회피 관점에서 타당한 면도 있지만 데이터 복구를 위해 백업 데이터를 가져오는 시간이 많이 소요되어 RTO는 매우 길어지게 되므로 내부적으로 1 전략 구축 전 수용 가능한 적절한 RTO를 결정합니다.

■ 적절한 백업 RPO(Recovery Point Objective)를 결정합니다.

다양한 장애, 사고 등의 문제로 서비스가 중단된 경우 내부적으로 수용 가능한 서비스 복구까지 소요되는 RPO를 검토합니다. RPO는 짧을수록 서비스 복구가 빨라져 좋으나 빠른 서비스 복구를 위해서는 그만큼 고가 장비, 서비스 등의 도입으로 큰 비용이 발생하게 됩니다. 즉, 비용적으로 큰 문제가 없다면 여러 장비와 서비스를 도입하여 RPO 시간을 ‘0’에 가깝게 구축할 수 있습니다.

하지만 대부분의 기업에서는 비용적인 문제로 구성하는 데 한계가 발생하기 때문에 결국 RPO를 어느 정도 감수하며 내부 상황에 맞도록 설계해야 합니다. 예를 들어, 계약한 A 배송 업체에 백업 파일 배송 요청 시 항상 6시간이 소요된다면 최소 RPO는 6시간이 발생하게 됩니다. 작업 과정에 문제 또는 배송 업체의 배송 지연 등의 예상하지 못한 문제 발생 시 최악의 경우 RPO는 훨씬 더 길어질 수 있으므로 1 전략 구축 전 수용 가능한 적절한 RPO를 결정합니다.

■ 외부 백업 데이터는 오프라인 상태 또는 접근할 수 없는 환경에 보관합니다.

랜섬웨어는 컴퓨터에 연결되어 있는 외장 하드디스크나 USB 메모리, 네트워크 드라이브 등도 함께 암호화할 수 있습니다. 랜섬웨어에 대비하는 가장 좋은 방법은 네트워크에 연결되어 있지 않고 물리적으로 완전히 분리된 공간에 오프라인 상태 또는 접근할 수 없는 공간에 백업 파일을 보관하는 것입니다.

내부적으로 정해진 주기에만 연결하여 데이터를 백업 받고 즉시 오프라인 상태를 유지 또는 일정 기간마다 다른 저장 공간에 데이터를 백업하여 분리된 다른 공간에 보관하며 외부 공격에 영향받지 않도록 보관합니다.

서버 백업 디스크에 있는 백업 파일을 Acronis 클라우드 소산 백업을 이용하여 AWS S3에 2차 백업하는 예시)

1 전략을 마지막으로 3-2-1 백업에 대해 소개했습니다.

백업은 안전장치입니다. 다양한 사이버 사건 사고는 예고 없이 발생합니다. 또한 실사용 중인 데이터에 큰 문제가 발생하는 상황이 자주 일어나지 않기 때문에 초기 개발 단계인 경우를 제외한 상황에서 백업 파일을 사용하는 경우는 많이 없습니다.

그렇기에 백업에 대한 중요성은 시간이 지날수록 감소하게 되며 관리가 소홀해지거나 백업에 대한 필요성을 많이 느끼지 못하게 되면서 실제 백업 파일을 사용해야 할 시기에 제대로 관리되지 못한 백업 시스템에 문제로 원하는 결과를 얻지 못하는 상황이 발생할 수도 있습니다.

랜섬웨어 공격에서 해커와의 협상이 아닌 백업 파일을 이용하여 데이터를 복구할 수 있도록 안전장치를 철저하게 관리 감독하시길 바랍니다.

감사합니다.

– 정보보안센터