당신의 백업·복구 프로세스는 '틀렸다'

CSO
거의 대부분 기업이 중대한 데이터를 백업한 후 이 백업이 정말로 제대로 복구되는지 테스트하지 않는다.
 
ⓒ Getty Images Bank

백업은 항상 '제대로 인정받은 적이 없는' 작업이었다. 백업 소프트웨어는 수백 가지나 되지만 지극히 복잡하고 실제 유효성은 의심스럽다. 이에 관한 교육은 매우 부족하거나 제대로 이뤄지지 않아 대다수는 그냥 기본값을 적용하고 효과가 있기를 기도한다.

실제로 필자 역시 백업을 복구할 때마다 심지어 파일 하나를 복구할 때에도 작업이 제대로 완료되면 '안도의 한숨'을 쉰다. 백업과 복구 과정이 유효하지 않은 경우가 많다는 것을 알고 있기 때문이다. 대부분의 경우 필요한 복구 작업이 실패하곤 한다. 더 안타까운 것은 실제로는 실패했지만 백업 소프트웨어가 작업에 성공했다고 메시지를 보여주는 경우다. 이런 경우 백업은 기본적인 가치조차 잃게 된다.
 

부실한 백업 테스팅이 보안을 위협한다

백업을 테스트해야 한다는 것을 모르는 사람은 없다. 그러나 이를 이행하는 사람은 거의 없고 설사 테스트를 해도 단일 데이터베이스나 서버를 제한적으로 복구해 볼 뿐이다. 필자는 이런 식의 테스트라도 이행하는 사람은 1% 정도라고 본다. 진정한 보안 전문가다. 나머지 99%는 백업을 전혀 테스트하지 않는다.

게다가 백업이 이루어지지 않은 사례에 대한 보고서를 읽는 사람도 별로 없다. 대부분은 파일이나 폴더가 제대로 백업되지 않은 이유를 전혀 생각하지 않기 때문이다. 그래서 가동 중인 파일과 프로그램은 올바르게 백업될 수 없다는 한계를 잘 이해하지 못한다. 또는 적절한 백업 소프트웨어가 없거나 추가로 값비싼 모듈이 구매해야 하지만 경영진은 예산을 계속 삭감하고 이를 설득하지도 못한다.

결국 백업과 복구는 전문적이고 물리적인 악몽이 된다. 심지어 이는 감사 과정에서도 걸러지지 않는다. 백업과 복구 작업이 완료됐고 이에 대해 최소한의 증거를 제시하면 감사 측은 기꺼이 ‘백업 및 복구 테스팅’ 요건이 충족된 것으로 체크하기 때문이다. 문제가 계속 악순환을 반복하는 이유다.
 

부실한 백업은 랜섬웨어가 천적

이처럼 부실한 백업은 결과적으로 랜섬웨어의 창궐로 이어진다. 대부분의 경우 랜섬웨어 공격이 성공하고 데이터가 악의적으로 암호화돼 복구할 수 없는 공공기관과 병원, 경찰서, 기업에 대한 이야기가 뉴스 속에 가득하다. 이런 상황에 몰리면 랜섬(몸값)으로 수십만 달러를 지급하거나 복구 작업에 많은 돈을 쓰게 된다.

랜섬웨어 공격을 받은 일부는 설사 백업이 양호한 상태라고 해도 랜섬을 내는 것이 이를 복구하는 것보다 더 싸게 먹힌다고 주장한다. 맞는 말이다. 데이터와 서비스를 복원하는 일은 일반적으로 매우 많은 시간이 걸린다. 그러나 랜섬을 냈다고 해서 복원한 후 완벽히 작동할 것이라는 보장은 없다. 시스템은 극도로 복잡하므로, 데이터 복원이 유효할 수도 있지만, 서버나 서비스를 시작해 애플리케이션을 실행했을 때 오류가 발생할 수 있다. 그러면 다시 서비스를 복구해야 하므로 비용을 2배로 들어간다.

실제로 랜섬을 지급한 기업의 약 40%는 암호화한 데이터에 안정적으로 접근하지 못했다. 당연할 것일수도 있다. 랜섬웨어 공격자가 높은 수준의 고객 만족을 염두에 두고 버그 테스트를 하지는 않았을 것이기 때문이다.

일부 랜섬웨어 공격을 받은 사이버 보험사는 랜섬을 낼 것인지 고민한다. 그러나 랜섬을 지급하는 것이 더 싸게 보일지라도, 보험사는 암호화된 데이터를 다시 사용할 수 있을지 알 수 없다는 것을 알고 있다. 랜섬을 낸 회사 가운데 복구 전문가를 고용하는 기업이 많은 것도 이 때문이다. 양호한 백업을 가지고 있어서 랜섬을 지급하지 않은 기업도 비슷한 경로를 거친다.

필자는 여기서 백업 소프트웨어나 서비스 회사를 비난할 생각이 없다. 일부의 경우 매우 복합적인 문제를 안고 있다고 해도 말이다. 백업 소프트웨어/서비스 회사의 권고를 따라 적절한 테스팅을 실행하면 안정적이고 검증된 백업을 얻을 수 있지만, 거의 모두가 이런 작업을 하지 않는다.
 

탄탄한 백업과 복구 절차를 만드는 8단계

그렇다면 탄탄한 백업과 복구 시스템을 갖추려면 어떻게 해야 할까. 다음 8단계를 참고하면 된다.

1. 보안 전문가들이 항상 주장하는 것처럼 백업과 복구 테스팅에 높은 우선순위를 부여해야 한다.

2. 이를 전담할 사람도 필요하다. 백업 및 복구가 30가지 직무 가운데 하나라면 이를 제대로 하기는 어렵다.

3. 모든 중대한 시스템을 전체적으로 복구하는 테스트를 해 애플리케이션이 예상대로 작동하는지 확인한다. 랜섬웨어 공격을 받고 난 후 이를 처음으로 확인하는 기업이 돼서는 안 된다.

4. 복구 테스팅 과정을 단계별로 문서로 만든다. 테스트 애플리케이션이 완벽히 작동하는 수준까지 문서로 남겨야 한다. 실제 복구 테스팅은 무엇이 유효하고, 무엇이 그렇지 않은지를 포함해야 한다. 처음으로 전면적 복구 테스트를 이행한다면 대개 테스트 복구 프로세스가 예상대로 작동하지 않는다는 것을 알게 될 것이다. 따라서 테스트하고, 학습하고, 교정하고, 다시 테스트하라. 그리고 기록하라.

5. 매일, 매월 등 여러 시간 주기마다 백업을 이행하라.

6. 백업을 암호화하라.

7. 다양한 물리적 장소에 백업을 보존하라. 이 가운데 일부는 랜섬웨어와 해커의 접근을 차단하도록 오프라인이어야 한다.

8. 컴플라이언스 체크 상자 마인드를 버려라. 백업과 테스트 복구는 단순한 체크 리스트 질문 이상의 것이다. 복구, 테스트 및 애플리케이션 테스팅이 제대로 진정으로 이행되었음을 증명하는 상세한 자료를 준비해 감사인에게 제시하라.


오늘날 기업이 직면한 보안 문제는 매우 심각하다. 특히 유사시 사용할 수 있는 백업조차 생각처럼 또는 다른 사람의 말처럼 그렇게 안정적이지 않다. 이제 업계는 문제를 인정하고, 적절한 사람이 이를 이해할 수 있도록 이야기해야 한다. 이런 상황을 바로잡을 적정한 집중과 자원도 확보해야 한다. 악성 코드가 우리의 거짓말을 악용하고 그 허점을 만천하에 공개하기 전에 우리가 먼저 그 대책을 준비하고 있다고 널리 알리는 것이 훌륭한 출발점이 될 수 있다. ciokr@idg.co.kr