2021.08.09

랜섬웨어 복구, 클라우드가 정답인 이유

W. Curtis Preston | Network World
랜섬웨어 공격을 받을 경우 몸값 지불을 피하는 가장 좋은 방법은 완전 자동화된 고속 재해복구다. 이 프로세스의 첫 번째 단계는 맬웨어 제거이고, 복구는 두 번째 단계다. 

랜섬웨어 공격이 발생한 경우 사용할 수 있는 재해복구 방법은 크게 전통적인 복구, 이미지 기반 복구, 또는 클라우드 기반 복구의 세 가지로 나눌 수 있다. 그러나 대부분 환경에서 대규모 복구를 자동화할 수 있는 유일한 방법은 클라우드 복구 뿐이다. 
 
ⓒ Getty Images Bank
 

전통적인 재해복구 

전통적인 재해복구는 손실이 발생한 후, 즉 몸값 요구를 받은 이후 전통적인 복원에 착수하는 방법이다. 가상머신 이미지를 VM웨어, 하이퍼-V, KVM과 같은 하이퍼바이저 플랫폼 또는 AWS, 애저, GCP와 같은 하이퍼스케일러에 복원하는 경우도 전통적인 복원에 해당한다. 전통적이라는 말은 사건이 발생하면 그 이후에 복원을 시작한다는 의미다. 뒷에서 다루겠지만 데이터 복원이 필요하기 전에 복원하는 방법도 있다. 

그다지 오래되지 않은 과거엔 모두가 이 방법을 사용했으므로 전통적인 방법으로 불린다. 대부분 기업에는 자체 복구 데이터센터를 운영할 예산이 없었으므로 필요할 때를 대비해 복구 데이터센터를 제공하는 서비스를 이용했다. 이 데이터센터를 실제로 이용할 때마다 비용을 지불해야 했으므로 미리 데이터를 복원한다는 것은 생각할 수 없는 일이었다. 재해가 발생할 때까지 기다렸다가, 발생하면 복구 데이터센터에 연락해서 복구를 시작했다. 복원을 수행할 하드웨어를 기업이 직접 소유하지 않으므로 속도가 느리고 자동화하기도 매우 어렵다. 

이제 이 방법은 사용하지 말아야 한다. 데이터센터가 감염되거나 재해로 파손된 후 전체 데이터센터에 대해 전통적인 재해복구를 수행하는 데는 너무 오랜 시간이 걸린다. 랜섬웨어 공격을 받은 경우라면 몸값을 지불할 수밖에 없는 상황으로 내몰리게 된다. 몸값 지불은 좋은 해결책이 아니므로 너무 오랜 시간이 걸리는 재해복구 계획은 지양해야 한다. 훨씬 더 빠르고 훨씬 더 자동화가 용이한 프로세스로 바꾸는 것이 좋다. 
 

이미지 기반 복구 

이미지 기반 복구는 운영체제 및 애플리케이션 복구를 데이터 자체의 복구와 분리하는 것이다. 분리할 수 있다면, 이미징 솔루션을 사용해 운영체제 및 애플리케이션 복구를 대폭 간소화할 수 있다. 각 운영체제/애플리케이션 쌍의 이미지를 만들어 원하는 만큼 많은 서버에 빠르고 쉽게 다시 이미지를 입힐 수 있다. 자동화도 가능하다. 

50대의 서버를 백업에서 복원하는 데는 오랜 시간이 걸리지만, 50대의 서버 또는 VM 또는 컨테이너에 이미지를 다시 적용하는 작업은 훨씬 더 빨리 끝낼 수 있다. 일부 이미징 솔루션은 씬 프로비저닝 복구 기능을 제공하므로 이미지를 다시 적용하는 중에도 VM을 부팅할 수 있다. 백업 시스템 중에도 이를 지원하는 경우가 있지만, VM의 수가 제한된다. 따라서 이미징 시스템은 대체로 전통적인 복원에 비해 더 빠르게 시스템을 온라인으로 되돌릴 수 있다. 

이미지 기반 복구는 시스템 사용에 익숙해지면 소요 시간도 예측할 수 있다. 운영체제를 업그레이드를 할 때마다 이미 업그레이드된 이미지를 사용해 다시 이미지를 적용하는 방법을 사용하면, 이와 같은 형태의 복구에 정확히 얼만큼의 시간이 걸릴지를 알게 된다. 기존 운영체제를 패치할 때와 다른 점이다. 시중에는 리눅스와 윈도우 서버, VM을 모두 처리할 수 있는 다양한 이미징 솔루션이 있다. 쿠버네티스와 도커 역시 이 복구 방법에 적합하다. 

이미지 기반 복구는 핵심 시스템 파일을 암호화하는 방법으로 운영체제 또는 애플리케이션을 공격하는 랜섬웨어에 대한 방어선 역할을 한다. 하지만 문서 또는 데이터베이스 파일을 암호화하는 랜섬웨어에 대해서는 그다지 효과적이지 않다. 문서와 데이터베이스 파일은 여전히 전통적인 방법으로 복원해야 하기 때문이다. 따라서 전통적인 재해복구에 비해 낫긴 하지만 조금 더 나은 수준이다. 
 

클라우드 기반 복구 

클라우드 기반 복구는 복구가 필요하기 전에 수행할 수 있다. 자동으로 시작되며 컴퓨팅 환경을 IaaS 서비스 업체에 정기적으로 증분 복원한다. 즉, 필요해지기 전에 전체 환경(구조적 데이터와 비구조적 데이터가 모두 포함된 백업 포함)이 이미 복원되어 있다는 의미다. 물론 마지막 복원과 랜섬웨어 공격 사이의 공백이 어느 정도인지에 따라 얼마간의 데이터 손실이 발생하므로 손실을 최소화하기 위해 사전 복원 프로세스를 실행할 간격을 미리 결정해야 한다. 또한 얼만큼의 데이터 손실을 감수할 수 있는지, 즉 복구 시점 목표(RPO)에 대한 합의도 필요하다. 

기술적으로 이 유형의 복구에는 클라우드가 필수는 아니지만, 대부분의 조직에서 클라우드를 사용하는 편이 금전적으로 더 유리하다. 물리적 데이터센터를 사용할 경우 필요한 시점이 되기 전에 데이터센터에 많은 비용을 지출해야 한다. 클라우드를 사용하면 사전 복원되는 이미지와 관련된 스토리지에 대한 비용만 지불하면 된다. 

클라우드 친화적인 백업 및 DR 제품과 서비스는 전체 환경을 원하는 클라우드에 선제적으로(매일, 매시간 또는 지속적으로) 복원할 수 있다. 업데이트 빈도가 높을수록 당연히 비용도 커진다. 

사전 복원의 장점은 몇 분 만에 전체 컴퓨팅 환경을 되돌릴 수 있고, 몇 초에서 몇 시간까지 다양한 RTO를 충족하는 제품과 서비스를 이용할 수 있다는 점이다. 랜섬웨어 메시지를 받더라도 웃어넘길 수 있는 상황을 상상해 보라. 버튼 하나만 누르면 몇 분 만에 클라우드에서 전체 환경이 실행된다. 이 프로세스는 완전히 자동화된다. 

참고로, 몇 분 만에 환경을 복원하더라도 랜섬웨어를 찾아 제거해야 하는 것은 마찬가지다. 일부 복구 솔루션을 사용해 이 프로세스를 자동화할 수 있다. 

클라우드 기반 복구는 필요한 시점이 될 때까지 컴퓨팅 비용을 지불하지 않으면서 데이터 사전 복원이 가능하고 실제 복원을 수행하는 시간이 매우 빠르므로 충분히 고려할 가치가 있는 방법이다. editor@itworld.co.kr


2021.08.09

랜섬웨어 복구, 클라우드가 정답인 이유

W. Curtis Preston | Network World
랜섬웨어 공격을 받을 경우 몸값 지불을 피하는 가장 좋은 방법은 완전 자동화된 고속 재해복구다. 이 프로세스의 첫 번째 단계는 맬웨어 제거이고, 복구는 두 번째 단계다. 

랜섬웨어 공격이 발생한 경우 사용할 수 있는 재해복구 방법은 크게 전통적인 복구, 이미지 기반 복구, 또는 클라우드 기반 복구의 세 가지로 나눌 수 있다. 그러나 대부분 환경에서 대규모 복구를 자동화할 수 있는 유일한 방법은 클라우드 복구 뿐이다. 
 
ⓒ Getty Images Bank
 

전통적인 재해복구 

전통적인 재해복구는 손실이 발생한 후, 즉 몸값 요구를 받은 이후 전통적인 복원에 착수하는 방법이다. 가상머신 이미지를 VM웨어, 하이퍼-V, KVM과 같은 하이퍼바이저 플랫폼 또는 AWS, 애저, GCP와 같은 하이퍼스케일러에 복원하는 경우도 전통적인 복원에 해당한다. 전통적이라는 말은 사건이 발생하면 그 이후에 복원을 시작한다는 의미다. 뒷에서 다루겠지만 데이터 복원이 필요하기 전에 복원하는 방법도 있다. 

그다지 오래되지 않은 과거엔 모두가 이 방법을 사용했으므로 전통적인 방법으로 불린다. 대부분 기업에는 자체 복구 데이터센터를 운영할 예산이 없었으므로 필요할 때를 대비해 복구 데이터센터를 제공하는 서비스를 이용했다. 이 데이터센터를 실제로 이용할 때마다 비용을 지불해야 했으므로 미리 데이터를 복원한다는 것은 생각할 수 없는 일이었다. 재해가 발생할 때까지 기다렸다가, 발생하면 복구 데이터센터에 연락해서 복구를 시작했다. 복원을 수행할 하드웨어를 기업이 직접 소유하지 않으므로 속도가 느리고 자동화하기도 매우 어렵다. 

이제 이 방법은 사용하지 말아야 한다. 데이터센터가 감염되거나 재해로 파손된 후 전체 데이터센터에 대해 전통적인 재해복구를 수행하는 데는 너무 오랜 시간이 걸린다. 랜섬웨어 공격을 받은 경우라면 몸값을 지불할 수밖에 없는 상황으로 내몰리게 된다. 몸값 지불은 좋은 해결책이 아니므로 너무 오랜 시간이 걸리는 재해복구 계획은 지양해야 한다. 훨씬 더 빠르고 훨씬 더 자동화가 용이한 프로세스로 바꾸는 것이 좋다. 
 

이미지 기반 복구 

이미지 기반 복구는 운영체제 및 애플리케이션 복구를 데이터 자체의 복구와 분리하는 것이다. 분리할 수 있다면, 이미징 솔루션을 사용해 운영체제 및 애플리케이션 복구를 대폭 간소화할 수 있다. 각 운영체제/애플리케이션 쌍의 이미지를 만들어 원하는 만큼 많은 서버에 빠르고 쉽게 다시 이미지를 입힐 수 있다. 자동화도 가능하다. 

50대의 서버를 백업에서 복원하는 데는 오랜 시간이 걸리지만, 50대의 서버 또는 VM 또는 컨테이너에 이미지를 다시 적용하는 작업은 훨씬 더 빨리 끝낼 수 있다. 일부 이미징 솔루션은 씬 프로비저닝 복구 기능을 제공하므로 이미지를 다시 적용하는 중에도 VM을 부팅할 수 있다. 백업 시스템 중에도 이를 지원하는 경우가 있지만, VM의 수가 제한된다. 따라서 이미징 시스템은 대체로 전통적인 복원에 비해 더 빠르게 시스템을 온라인으로 되돌릴 수 있다. 

이미지 기반 복구는 시스템 사용에 익숙해지면 소요 시간도 예측할 수 있다. 운영체제를 업그레이드를 할 때마다 이미 업그레이드된 이미지를 사용해 다시 이미지를 적용하는 방법을 사용하면, 이와 같은 형태의 복구에 정확히 얼만큼의 시간이 걸릴지를 알게 된다. 기존 운영체제를 패치할 때와 다른 점이다. 시중에는 리눅스와 윈도우 서버, VM을 모두 처리할 수 있는 다양한 이미징 솔루션이 있다. 쿠버네티스와 도커 역시 이 복구 방법에 적합하다. 

이미지 기반 복구는 핵심 시스템 파일을 암호화하는 방법으로 운영체제 또는 애플리케이션을 공격하는 랜섬웨어에 대한 방어선 역할을 한다. 하지만 문서 또는 데이터베이스 파일을 암호화하는 랜섬웨어에 대해서는 그다지 효과적이지 않다. 문서와 데이터베이스 파일은 여전히 전통적인 방법으로 복원해야 하기 때문이다. 따라서 전통적인 재해복구에 비해 낫긴 하지만 조금 더 나은 수준이다. 
 

클라우드 기반 복구 

클라우드 기반 복구는 복구가 필요하기 전에 수행할 수 있다. 자동으로 시작되며 컴퓨팅 환경을 IaaS 서비스 업체에 정기적으로 증분 복원한다. 즉, 필요해지기 전에 전체 환경(구조적 데이터와 비구조적 데이터가 모두 포함된 백업 포함)이 이미 복원되어 있다는 의미다. 물론 마지막 복원과 랜섬웨어 공격 사이의 공백이 어느 정도인지에 따라 얼마간의 데이터 손실이 발생하므로 손실을 최소화하기 위해 사전 복원 프로세스를 실행할 간격을 미리 결정해야 한다. 또한 얼만큼의 데이터 손실을 감수할 수 있는지, 즉 복구 시점 목표(RPO)에 대한 합의도 필요하다. 

기술적으로 이 유형의 복구에는 클라우드가 필수는 아니지만, 대부분의 조직에서 클라우드를 사용하는 편이 금전적으로 더 유리하다. 물리적 데이터센터를 사용할 경우 필요한 시점이 되기 전에 데이터센터에 많은 비용을 지출해야 한다. 클라우드를 사용하면 사전 복원되는 이미지와 관련된 스토리지에 대한 비용만 지불하면 된다. 

클라우드 친화적인 백업 및 DR 제품과 서비스는 전체 환경을 원하는 클라우드에 선제적으로(매일, 매시간 또는 지속적으로) 복원할 수 있다. 업데이트 빈도가 높을수록 당연히 비용도 커진다. 

사전 복원의 장점은 몇 분 만에 전체 컴퓨팅 환경을 되돌릴 수 있고, 몇 초에서 몇 시간까지 다양한 RTO를 충족하는 제품과 서비스를 이용할 수 있다는 점이다. 랜섬웨어 메시지를 받더라도 웃어넘길 수 있는 상황을 상상해 보라. 버튼 하나만 누르면 몇 분 만에 클라우드에서 전체 환경이 실행된다. 이 프로세스는 완전히 자동화된다. 

참고로, 몇 분 만에 환경을 복원하더라도 랜섬웨어를 찾아 제거해야 하는 것은 마찬가지다. 일부 복구 솔루션을 사용해 이 프로세스를 자동화할 수 있다. 

클라우드 기반 복구는 필요한 시점이 될 때까지 컴퓨팅 비용을 지불하지 않으면서 데이터 사전 복원이 가능하고 실제 복원을 수행하는 시간이 매우 빠르므로 충분히 고려할 가치가 있는 방법이다. editor@itworld.co.kr


X