보안 / 윈도우

글로벌 칼럼 | 랜섬웨어와의 전쟁, 마이크로소프트의 노력이 아쉬운 이유

Susan Bradley | Computerworld 2021.07.22
어떤 기업이 랜섬웨어 공격을 받았다는 뉴스가 하루도 빠지지 않고 등장한다. 많은 경우 사고의 시작은 피싱 공격 또는 패치 지연으로 인한 취약점이다. 또는 부실하게 코딩된 컨설턴트 툴에서 시작되는 경우도 있다. 어떤 방식으로 시작됐든, 백업에서 복구하거나(사용 가능한 백업이 있다는 전제 하에) 몸값을 지불하고 데이터의 암호를 해독해 복구할 때는 시간이 소요된다. 
 
ⓒ Getty Images Bank

그런데 기업에는 그럴 시간이 없다. 

미국 정부는 지난 주 기업과 학교, 기타 조직이 랜섬웨어 공격에 대처하는 데 도움을 주기 위해 스톱랜섬웨어(Stopransomeware) 웹사이트를 개설했다. 가이드에는 데이터를 암호화해 백업하고 주기적으로 테스트할 것, 핵심 시스템의 골드 이미지를 주기적으로 업데이트해 보관할 것, 백업 하드웨어를 확보해 둘 것, 적용 가능한 코드도 같이 유지할 것 등 백업과 관련된 사항이 포함되어 있다.

백업 문제에 있어 필자는 모범 사례를 촉진하기 위한 마이크로소프트의 대처가 미흡하다고 생각한다. 물론 마이크로소프트는 많은 솔루션 업체가 제공하는 서드파티 옵션 생태계와 관련해서 신중하게 움직여야 하는 경우가 많다. 

특히 소기업과 개인 사용자 관점에서 대규모 엔터프라이즈와 소기업의 요구사항은 서로 다르다. 대기업은 오토파일럿(Autopilot)과 같은 툴을 사용해 새로운 시스템의 이미지를 신속하게 배포할 수 있다. 예를 들어 랜섬웨어로 일련의 워크스테이션이 손상됐다면, 오토파일럿과 같은 다양한 툴을 사용해 다시 배포할 수 있다. (윈도우 11은 오토파일럿을 완전히 지원하며, 손쉽게 애저 액티브 디렉토리에 조인하는 옵션도 제공한다.) 

소규모 기업을 위한 마이크로소프트의 랜섬웨어 대책은 제어된 폴더 액세스(Controlled folder access)다. 제어된 폴더 액세스는 다음과 같은 폴더를 랜섬웨어로부터 보호한다. 

c:\Users\<username>\Documents
c:\Users\Public\Documents
c:\Users\<username>\Pictures
c:\Users\Public\Pictures
c:\Users\Public\Videos
c:\Users\<username>\Videos
c:\Users\<username>\Music
c:\Users\Public\Music
c:\Users\<username>\Favorites


그러나 한 가지 조건이 있다. 이 방법은 윈도우 디펜더가 주 안티바이러스인 경우에만 작동한다는 것이다. 다른 서드파티 안티바이러스 프로그램을 사용하는 경우 제어된 폴더 액세스 기능을 사용할 수 없다. 

랜섬웨어 데이터 복구를 위해 마이크로소프트가 제공하는 두 번째 방법은 파일을 원드라이브(OneDrive)로 옮기는 것이다. 그러나 프리미엄 원드라이브 계정이 없으면 파일을 동기화할 수 있는 용량이 제한된다. 
 

허술한 운영체제 차원의 백업 

마이크로소프트의 이들 조치는 확실히 부실하다. 마이크로소프트는 사용자에게 핵심 시스템의 기준 이미지를 만들도록 독려하지 않는다. 개인 사용자나 소기업의 경우 모든 데스크톱이 곧 핵심 시스템이다. 그러나 마이크로소프트는 몇 년째 백업을 강조하기보다는 클라우드 서비스를 사용한 동기화를 홍보하는 데 주력하고 있다. 소기업에서 사용하는 컴퓨터에는 제품 키, 소프트웨어 설치 파일, 설치 CD를 더 이상 찾을 수 없거나 SHA-1 서명으로 코드 서명이 됐다는 이유로 마이크로소프트 다운로드 서버에서 키가 제거된 소프트웨어가 반드시 몇 개는 있다. 

지금 사용하는 컴퓨터와 완전히 동일한 이미지를 확보해 두는 것이 랜섬웨어로부터 시스템을 보호하기 위한 핵심이다. 그러나 마이크로소프트는 윈도우 11에서 이를 위한 툴을 제공하지 않는다. 

필자도 클라우드 스토리지가 중요한 파일을 보관할 또 다른 안전한 방법이라는 점은 잘 알고 있다. 그러나 필자가 랜섬웨어 공격을 받아 파일을 복구해야 한다면, 클라우드에서 파일을 가져오는 데는 몇 시간, 경우에 따라 며칠이 걸릴 것이다. 랜섬웨어에 몸값을 지불해 데이터 암호를 해독하기 위한 키를 받는다 해도 원상복구에는 몇 시간, 길게는 몇 주가 걸린다. 

필자가 아는 대부분의 소기업은 클라우드를 기반으로 운영되지 않으며, 공격으로부터 복구하는 데 몇 주를 감당할 여력도 없다. 이들은 일반적으로 지금은 클라우드로 복제할 수 없는 핵심적인 필수 기능을 제공하는 한두 대의 중요 서버가 있다. 언젠가 필자가 사용하는 모든 소기업용 소프트웨어가 클라우드에도 제공되어 더 이상 로컬 서버가 필요 없어지는 날이 올지도 모르겠지만, 적어도 지금은 아니다. 대기업조차도 여전히 액티브 디렉터리 도메인 인프라에 상당부분을 의존하고 있다. 
 

‘골드 이미지’를 만드는 방법 

윈도우 10에서 기준 이미지를 준비하려면, 윈도우 7 이후 버려진 백업 툴인 시스템 이미지 백업(System Image Backup) 툴을 사용해야 한다. 이 툴을 활성화하려면 설정으로 이동해서 업데이트 및 보안을 클릭한 다음 백업을 클릭한다. 여기서 “이전 백업을 찾으십니까?” 섹션 아래에 있는 백업 및 복원으로 이동(윈도우 7) 옵션을 클릭한다. 

윈도우 11에는 어떤 옵션이 있을까? 계정(Accounts)>윈도우 백업(Windows backup)으로 이동하면 원드라이브 폴더 동기화를 설정해 모든 디바이스의 앱을 기억하고 모든 디바이스의 내 기본 설정을 기억하는 옵션이 표시된다. 그러나 많은 사용자는 윈도우 컴퓨터가 하나뿐이다. 또 다른 PC를 구매하지 않는 한 복구할 다른 디바이스가 없다. 

또 다른 옵션은 다른 드라이브에 파일을 저장하는 것이다. 이 경우에도 미국 정부 랜섬웨어 가이드의 권장 사항에 따라 컴퓨터 이미지를 만들려면, 마이크로소프트가 더 이상 지원하지 않는 버려진 소프트웨어를 사용해야 한다(구식 제어판 설정 안에 숨겨져 있음). 

마이크로소프트는 한때는 소기업을 위한 소프트웨어를 만들었다. 초기 SMB를 위한 소프트웨어에는 백업 설정 마법사가 포함됐다. 많은 기업이 백업을 잊고 하지 않았기 때문이다. 이 설정에는 백업이 성공했는지 실패했는지를 보여주는 알림 이메일이 포함됐다. 마이크로소프트는 이후 홈 사용자를 위한 프로젝트에서는 모든 파일을 백업할 뿐만 아니라 피어 투 피어 네트워크에 조인하는 각 컴퓨터를 위한 워크스테이션 백업도 손쉽게 설정할 수 있는 마법사를 만들었다. 

그러나 지금 윈도우에 내장된 옵션은 클라우드에 백업하기 또는 파일 복사본 만들기가 전부다. 마이크로소프트는 윈도우 11이 윈도우 10과 마찬가지로 역대 가장 안전한 플랫폼이 될 것이라고 주장한다. 그러나 우리는 한 걸음 물러나서 윈도우 11을 손쉽게 복구할 수 있는가를 따져봐야 한다. 공격자들은 새로운 공격 방법을 찾을 것이다. 따라서 복구 수단을 확보해야만 어떤 상황에도 대비할 수 있다. 

마이크로소프트는 지금보다 더 잘 할 수 있다. 지금은 랜섬웨어로부터의 복구가 최우선 과제다. 백업은 매우 중요한 일이라 마이크로소프트가 해결해주기를 마냥 기다릴 수는 없으니, 미리 계획하고 어떤 선택지가 있는지 잘 확인하기 바란다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.