몸값을 지불할 필요가 없게 하기 위한 핵심은 시스템이 랜섬웨어로 암호화되더라도 복원할 수 있도록 백업을 갖추는 것이다. 백업을 랜섬웨어로부터 보호하기 위한 핵심은 생산 시스템과 백업 시스템 사이에 장벽을 최대한 많이 배치하는 것이다. 무슨 일이 있어도 피해야 할 것은 보호하고자 하는 것과 같은 데이터센터 내 윈도우 서버상의 디렉토리에 유일한 백업 하나를 그냥 두는 것이다. 이 문장의 핵심 부분인 ‘윈도우’, ‘같은 데이터센터’, ‘디렉토리에 두는 것’ 등을 자세히 살펴보자.
윈도우 보호
대다수의 랜섬웨어 공격은 윈도우 호스트를 대상으로 한다. 일단 호스트 하나가 감염되면 사용자 컴퓨터 환경 내 다른 윈도우 호스트로 퍼져나간다. 그런 식으로 충분히 많은 호스트에 랜섬웨어가 퍼지고 나면 공격자는 암호화 프로그램을 작동시킨다. 그러면 사용자의 세계가 전체가 갑자기 멈춰버린다. 따라서, 무엇보다도 백업 서버를 윈도우 아닌 다른 것으로 사용해야 한다.안타깝게도 인기 있는 백업 제품은 주로 윈도우에서 실행되는 것이 많다. 그나마 다행한 것은 리눅스 대안을 제공하는 것도 많다는 것이다. 비록 기본 백업 소프트웨어는 반드시 윈도우 상에서 실행해야 한다고 하더라도 리눅스 미디어 서버 옵션이 갖춰져 있을 수도 있다. 미디어 서버가 핵심이다. 사용자가 보호하려고 하는 데이터가 있는 곳이 미디어 서버이기 때문이다. 리눅스 기반 미디어 서버를 통해서만 접근 가능한 백업은 윈도우 기반 서버에 대한 랜섬웨어 공격이 침범할 수 없다.
리눅스 기반 미디어 서버 뒤에는 주기적인 백업은 물론 기본 백업 서버의 백업도 반드시 저장해 두어야 한다. 백업 물론 백업 접근에 필요한 데이터베이스마저 랜섬웨어로 암호화되어 있다면 백업을 복호화하는 것은 아무 소용이 없다.
또한, 윈도우 기반 백업 서버는 보호를 최대한 강화해야 한다. 랜섬웨어가 서버 공격에 사용하는 서비스(예: RDP)를 알아내서 최대한 많이 해제해야 한다. 명심할 점은 이 서버가 최후의 방어선이며, 따라서 편리함이 아닌 보안을 생각해야 한다.
백업을 데이터센터 외부로 보내기
어떤 백업 솔루션을 선택하든 간에, 백업 사본은 저장 위치가 달라야 한다. 단순히 클라우드 내 가상 머신(Virtual Machine, VM)에 백업 서버를 배치하는 것 이상을 의미한다. VM이 데이터센터에 있을 때와 마찬가지로 전자적인 접근이 가능하다면 그만큼 공격하기도 쉽다. 사용자의 데이터센터 내 시스템에 대한 공격이 클라우드 내 백업 시스템으로 전파될 수 없는 방식으로 구성해야 한다. 방화벽 규칙, 운영 체제 및 저장 프로토콜 변경 등 다양한 방법으로 가능하다.예를 들면, 대부분의 클라우드 업체들은 객체 스토리지를 제공하며 대부분의 백업 소프트웨어 제품 및 서비스는 그 스토리지에 기록할 수 있다. 랜섬웨어 공격자들은 수준이 높을지 모르지만, 객체 기반 스토리지에 저장된 백업을 공격하는 방법까지는 아직 알아내지 못했다. 또한, 객체 스토리지 제공업체들은 한번 기록하면 수정할 수 없는 WORM(Write-Once, Read-Many) 옵션을 제공한다. 즉, 심지어 관계자조차도 백업을 수정하거나 삭제할 수 없는 기간을 지정할 수 있다는 뜻이다.
사용자 인터페이스를 통하지 않고서는 접근할 수 없는 스토리지에 데이터를 기록할 수 있는 백업 서비스도 있다. 사용자가 백업을 직접 볼 수 없다면 랜섬웨어도 마찬가지다.
감염된 윈도우 시스템으로부터 백업(또는 최소한 한 개의 백업 사본)을 최대한 멀리 떨어뜨려 놓겠다는 방안이다. 백업은 방화벽 규칙으로 보호되는 제공업체의 클라우드에 배치하고, 백업 서버에는 다른 운영 체제를 사용하고, 백업 다른 종류의 스토리지에 기록한다.
백업에 대한 파일-시스템 접근 제거
백업 시스템이 백업을 디스크에 작성한다면, 일반적인 파일-시스템 디렉토리를 통해 접근될 수 없도록 최선을 다해 조치해야 한다. 예를 들어, 백업 데이터를 두기에 가장 안 좋은 장소는 E:\backups이다. 랜섬웨어 제품은 그러한 이름이 붙은 디렉토리를 특히 노리고 있으며 그곳에 있는 백업을 암호화해버릴 것이다.따라서, 디스크에 저장되는 백업이 운영 체제에서 파일로 보이지 않도록 하는 방법을 알아내야 한다. 예를 들면, 가장 흔한 백업 구성 가운데 하나는 서버 메시지 블록(SMB) 또는 네트워크 파일 시스템(NFS)을 통해 백업 서버에 마운트 된 타깃 중복 제거 배열에 백업 데이터를 기록하는 백업 서버인데, 이 서버가 랜섬웨어 제품으로 감염되면 해당 타겟 중복 제거 시스템상의 백업이 암호화될 수 있다. 디렉토리를 통해 접근 가능한 백업이기 때문이다. 해당 백업 제품이 SMB 또는 NFS를 사용하지 않고 타깃 중복 제거 배열에 기록할 수 있는 방법을 조사해야 한다. 인기 있는 백업 제품에는 모두 그러한 옵션이 있다.