랜섬웨어 위협에 대한 데이터 보호방안

김필수

소속 LG엔시스
경력사항 정보관리기술사, 인프라TA/PM 전문가
- 제조/유통/금융/통신등 Industry 전 분야 인프라 TA(Techincal Architecture)경험보유(13년)
- 대규모 프로젝트(인프라구축/망분리/ISP/이전/DR등) PM 경력 보유
- 사내 기술 EXPERT(기술전략/기획)로 재직

[주요 활동 사항]
- 국가직무능력표준(NCS)집필진(IT프로젝트 품질관리분야 저술)
- OO대학교 온라인평생교육원 온라인 교육 컨텐츠 집필
- 기술사 강의 경험 다수(클라우드/알고리즘등)
- 아이리포 OK ITPE 총괄 멘토
- NIPA 평가위원
- 정보통신기술사협회/한국기술사회 평생회원

1. 랜섬웨어 위협과 데이터 보호

랜섬웨어(Ransomware)는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류입니다.

최근 랜섬웨어에 의한 공격이 지속적으로 증가하고 있으며, 이러한 랜섬웨어에 의해 피해를 입은 기업 및 개인이 발생하고 있습니다. 심지어, 피해를 당한 기업이 해커로부터 요구하는 비용을 지불하고도 복구하지 못하는 웃지 못할 상황도 발생하고 있습니다. 랜섬웨어 공격이 더욱 위협적인 것은 전문 해커 뿐만 아니라 초보자도 랜섬웨어 공격킷을 구매하여, 언제든지 공격자가 될 수 있다는 사실입니다.

한국랜섬웨어침해대응센터 자료에 의하면 2016년도 랜섬웨어 침해 피해자가 2015년2,678건에서 3,255건으로 신고 건수로는 1.2배 증가하였으나 실제로는 2.4배정도 증가한 것으로 분석되고 있습니다. 2015년 8가지 종류의 랜섬웨어 공격이 2016년에는 16가지 종류로 2배가 증가하였다고 합니다.



[출처 : 한국렌섬웨어침해대응센터 “2017 랜섬웨어 침해분석 보고서”]

2016년 국내 랜섬웨어 피해규모만 보면, 한국랜섬웨어침해대응센터에 신고된 피해 건수와 랜섬웨어 방어 보안회사의 신고접수 건수, 관련 정부기관 신고 건수 및 복구대행업체에 의뢰한 복구 건수 정보를 기준으로 분석해 볼때, 2015년도에는 약 53,000명이 감염되어 1,090억원의 피해를 입혔고, 30억원 정도 해커에게 비트코인 금전이 지급된 것으로 추정되고 있습니다. 2016년에는 13만명 감염, 3,000억원 정도 피해가 발생했고, 13만명 피해자 중 최소 10%인 13,000명이 100억원 이상의 비트코인을 지급한 것으로 추정되고 있습니다. 2016년 해커에게 지급된 비트코인은 작년 국내 비트코인 거래규모인 6천5백억원의 약 1.5%에 해당하는 금액입니다.

랜섬웨어 공격기법은 더욱더 지능화되고, 사회공학기반 공격을 사용하기 때문에, 사전에 예방한다는 것이 거의 불가능하다고 할 수 있습니다. 하지만, 개인과 기업의 적극적인 예방의식이 고취된다면, 피해를 입더라도 최소화 할 수 있을 것입니다.

보안회사는 백신 혹은 차단제품을 공개하기 때문에 랜섬웨어를 완벽하게 차단함에 있어 한계가 분명 존재하고, 헤커들은 이러한 점을 악용하여 교묘하게 보안제품의 허점을 파고 들어 공격 루트를 확보하게 됩니다. 따라서, 사회공학기반 공격을 어렵게 하기 위한 개인 및 기업의 각별한 주의가 매우 중요하지만, 이것 또한 쉽지 않은 것이 현실입니다. 개인이든 기업이든 랜섬웨어 피해자가 될 수 있다고 생각하지 않기 때문입니다.. 예방이 어렵다면, 해당 공격을 당했을 때, 피해를 최소화할 수 있는 백업 및 복구체계에 대한 대책마련과 프로세스 수립이 반드시 필요하다고 할 수 있습니다. 가장 시급한 것은 보안적 관점에서 데이터백업 기술의 표준을 마련하고 백업을 의무화 시키는 정책수립과 조치입니다.

본 컬럼에서는 랜섬웨어 대비책의 하나인 백업 기술과 관련 솔루션 업계 동향에 대해 알아보고, 백업에 대한 전체적인 내용보다는 개인 및 기업의 PC백업 및 복구에 좀더 초점을 맞춰서 알아보도록 하겠습니다.

2. 운영체제 및 데이터 백업 기술

PC및 서버(Windows, Linux) 운영체제 및 데이터를 백업 및 복구하기 위한 대표적인 백업 아키텍쳐는 [그림 1]과 같습니다. 아래 그림에서 제시한 아키텍쳐는 대표적인 아키텍쳐이며, 솔루션/벤더별 세부 아키텍쳐는 다를 수 있습니다. Concept 위주의 개략적인 아키텍쳐이며, 일반적인 데이터 백업(TAPE, VTL등)에 대한 아키텍처는 아닙니다.



1) 백업 및 복구 아키텍처
가. 백업관리서버
- 백업 스케쥴링 및 모니터링, 저장공간 관리, 복구등에 대한 전반적인 관리를 수행하는 서버입니다.
- 백업관리서버의 경우, 특정 벤더에서는 어플라이언스 형태로 제공하기도 하고, x86서버와 해당 벤더의 백업SW로 구성하는 두 가지 방식이 있습니다.
- 개인 PC의 경우, 별도 백업관리서버는 구성되지 않습니다. 업무용PC의 경우, 통합(서버 백업) 또는 개별로 구성하는 방식이 있습니다.

나. 스토리지
- 백업대상서버의 운영체제(OS) 이미지(Image) 및 실 데이터를 백업하는 공간이며, SAN 또는 NAS방식으로 구성이 가능합니다.
- 서버 데이터의 경우, 업무용PC와 달리, 용량이 매우 큰 경우가 많습니다. 따라서, 별도 운영중인 백업 솔루션을 이용하여, TAPE/VTL등에 별도 백업을 수행하는 경우가 많습니다.
- 백업관리서버가 어플라이언스 형태로 제공되는 경우, 저장공간을 포함하는 경우가 많습니다.
- 개인 PC의 경우, 별도 외장HDD, 별도 PC, 클라우드 저장공간을 이용할 수 있습니다.

다. 클라우드 서비스
- 자체 저장공간(SAN 또는 NAS)에 저장할 수도 있고, 클라우드 CSP(Cloud Service Provider)를 통해 데이터를 저장할 수도 있습니다. CSP서비스를 이용하기 위해서는, 해당 벤더와 별도 계약 및 SLA체결을 하여야 합니다.(월 사용료 지불 필요)
- 기업의 경우, 데이터 유출등 보안상의 이유로 아직까지는 클라우드 서비스를 이용하는 사례가 많지 않습니다.
- 개인 사용자의 경우, 클라우드 서비스를 이용하면, 개인이 소장하고 있는 여러대의 PC를 동기화 할 수도 있고, 실시간 데이터 저장도 가능한 장점이 있습니다.

라. 복구대상
- 현재 운영중인 서버의 심각한 장애(HW결함등)가 발생하여, 장시간의 복구 시간이 필요하다면, 데이터센터 내 보유중인 서버(대체 장비) 및 가상화 서버(VM)에 장애 서버의 운영체제 및 데이터를 복구 할 수 있습니다. 해당 백업 SW가 이기종 및 가상화 환경에서 복구 가능한 솔루션이여야 하는 전제 조건은 필요합니다.
- 업무용 PC의 경우, 회사가 재고로 보유하고 있는 여분의 PC에 해당 사용자의 운영체제 및 데이터를 신속하게 복구할 수 있습니다.
- 개인용 PC의 경우, USB/CD-ROM/PC/클라우드등 다양한 저장공간에 백업을 수행할 수 있고, 지속적으로 변경되는 데이터를 실시간으로 백업하기 위해서는 클라우드 서비스를 이용하는 방법이 있습니다.

3. 백업 솔루션 업계 동향 및 비교

2장에서는 서버 및 PC의 운영체제 및 데이터 백업에 대한 아키텍처를 살펴보았고, 이번 장에서는 해당 백업 솔루션 벤더 동향 및 주요 벤더 솔루션에 대한 비교를 해보도록 하겠습니다.

1) 백업 솔루션 업계 동향

가. 실시간 백업 및 다양한 환경에서 복구 기 백업이 가능하고, 증분/차분 백업등 다양한 백업 모드 기술을 지원하고 있습니다.
- 최근 클라우드 기술을 다양하게 도입되고 있는 현실을 반영하여, 백업 저장 공간도 기업내 데이터 센터 저장공간 뿐만 아니라, 클라우드 저장 공간에도 저장하는 방식으로 변화되고 있어, 사용자 선택의 폭을 넓히고 있습니다.
- 물리적 서버, PC뿐만 아니라, 가상화 환경 또는 다양한 디바이스에 복구가 가능하고, 이기종간 복구도 가능합니다.

나. 제품 동향
- 서버용 제품 뿐만 아니라, 개인용PC/업무용PC등 다양한 클라이언트 환경에 대한 제품을 출시하고 있습니다.
- 중요한 업무용 서버(어플리케이션) 뿐만 아니라, 개인이 소유하고 있는 PC에 대한 데이터 백업 및 복구를 효율적으로 구현하여, 랜섬웨어에 대한 피해를 최소화 하고, 언제든지 데이터를 복구 할 수 있는 환경을 제공합니다.
- 해당 솔루션 도입을 통하여, 유지보수에 투입되는 인력 비용을 절감하고, 자동화된 관리를 수행 할 수 있는 환경을 제공합니다.

나. 주요 백업 솔루션 비교
업계에서 주도하고 있는 몇 가지 솔루션을 비교해보도록 하겠습니다. 국내에서 경쟁하고 있는 제품 기준이며, 글로벌 기준은 국내와 차이가 다소 있습니다. 아래 자료는 필자의 의견이며, 해당 제품의 홈페이지 및 공개된 제품소개자료에 근거하여 작성하였으며, 특정 벤더에서 작성된 비교 자료가 아님을 미리 밝힙니다.

- 위와 같이, 주요 제품들이 대부분 유사한 기능과 특징을 가지고 있음을 확인할 수 있으며, 자세한 제품에 대한 문의는 해당 솔루션 벤더를 통해 확인이 필요합니다.

4. 기업에서의 백업 현황 및 백업전략수립에 대한 조언

1장에서 언급하였듯이, 급증하는 랜섬웨어 공격에 대한 최상의 대비책은 백업입니다. 대상이 서버이건 PC이건 가장 최선의 대응책은 운영체제 및 데이터에 대한 백업이라고 할 수 있습니다. 이번 장에서는 현재 기업에서의 백업 현황 및 백업전략수립 시 고려할 사항에 대해 알아보기로 하겠습니다.

1) 기업에서의 백업 현황
금융, 제조 ,통신등 대부분의 기업에서는 서버 백업에 대한 체계는 어느 정도 갖추어져 있는 곳이 많습니다. 하지만, 대부분의 기업들이, 이미지 백업 정도만 구현 되어있고, 실시간 백업 및 사무환경에서 사용되는 업무용PC에 대한 백업을 하는 기업은 거의 없습니다. 업무용PC의 경우에도 PC가 장애가 났거나, 랜섬웨어에 피해를 입었다면, 표준 이미지 템플릿으로 신규로 설치하는 경우가 다반사이며, 심지어 PC에 저장되어 있는 소중한 데이터도 포기하는 경우가 많습니다. 서버 뿐만 아니라, 업무용PC에 저장하고 있는 데이터도 보호된다면 소중한 자산을 보호하고, 업무 연속성 및 효율성을 극대화 할 수 있을 것 입니다.

어떤 기업은 문서중앙화 및 데스크탑 가상화, 논리적 망분리(인터넷PC, 업무PC)를 통해 업무용PC환경을 구성하기도 합니다. 차라리 이러한 환경이면, 중앙서버에 데이터가 저장되기 때문에, 백업 및 복구가 용이하다고 할 수 있습니다. 하지만, 이 환경에서도 백업/복구 환경이 갖추어져 있지 않다면, 문제는 동일하다고 할 수 있습니다.

2) 백업전략 수립에 대한 조언
서버 및 PC의 소중한 데이터를 보호하고, 최적의 백업 솔루션을 도입하는데 있어서, 고려해야 할 사항은 아래와 같습니다.

- 데이터 백업 및 복구를 위한 인프라 도입을 고민하여야 합니다.
- 기업 환경에 맞는 백업 솔루션 도입을 위한 PoC 및 BMT를 수행하여야 합니다. 이는 실제 제공되는 기능에 대한 검증 차원이며, 타 솔루션과 비교를 위한 것입니다. 3장에서의 비교 자료는 일반적인 비교이며, 상세 세부 기능에 대한 실질적인 확인과 테스트가 필요합니다. 왜냐하면 기업환경에 따라 다양한 소프트웨어가 설치되고, 운영하는 어플리케이션이 상이하기 때문입니다.
- 해당 솔루션의 커스터마이징 또는 맞춤형 솔루션 구현(개발)이 가능한지를 검토하여야 합니다. 기업의 환경과 데이터 보호 정책에 따른 유동적인 아키텍처 적용이 필요할 수 있기 때문입니다.
- 솔루션을 도입하였다면, 체계적인 관리 방안과 현재 상황을 모니터링 하여야 합니다. 실제 장애가 발생하였을 경우, 복구를 할 수 있는 상황인지, 복구 시간과 데이터 복구에 문제가 없는지에 대한 지속적인 관리가 필요합니다.
- OS이미지백업의 경우, 특정 SW(보안)의 경우, 이미지 백업은 되나 복구가 제대로 안 되는 경우가 발생합니다. 이러할 경우, 어떻게 관리할 것인지에 대한 세부적인 정책 수립이 필요합니다.
- 데이터의 중요도, 우선순위를 고려한 정책을 수립하시기 바랍니다. 기업의 모든 데이터를 백업하는 것이 좋겠지만, TCO/ROI를 고려한 효율적인 정책 수립이 필요합니다.

[ 참고 문헌 ]
[1] 한국랜섬웨어침해대응센타, “2017 랜섬웨어 침해분석보고서”
[2] Acronis(www.acronis.com)홈페이지
[3] ISA테크(www.zconverter.com)홈페이지
[4] 아크서브(https://arcserve.com)홈페이지

출처 : 한국데이터진흥원

제공 : 데이터 전문가 지식포털 DBguide.net