보안

랜섬웨어로부터 백업을 보호하는 방법

W. Curtis Preston | Network World 2021.02.17
랜섬웨어는 데이터에 대한 가장 큰 위협이다. 따라서, 악성 행위자들이 랜섬웨어 공격을 실행할 때 사용자의 기본 데이터와 더불어 사용자의 백업 데이터를 암호화하지 않도록 조치하는 것이 필수적이다. 랜섬웨어 공격으로 백업 데이터마저 암호화되어 버리면 사용자 입장에서는 몸값을 지불하지 않을 수 없게 되며 몸값을 받으면 고무된 악성 행위자들이 다시 랜섬웨어 공격에 나서게 될 것이기 때문이다.

몸값을 지불할 필요가 없게 하기 위한 핵심은 시스템이 랜섬웨어로 암호화되더라도 복원할 수 있도록 백업을 갖추는 것이다. 백업을 랜섬웨어로부터 보호하기 위한 핵심은 생산 시스템과 백업 시스템 사이에 장벽을 최대한 많이 배치하는 것이다. 무슨 일이 있어도 피해야 할 것은 보호하고자 하는 것과 같은 데이터센터 내 윈도우 서버상의 디렉토리에 유일한 백업 하나를 그냥 두는 것이다. 이 문장의 핵심 부분인 ‘윈도우’, ‘같은 데이터센터’, ‘디렉토리에 두는 것’ 등을 자세히 살펴보자.
 
ⓒ Getty Images Bank
 

윈도우 보호

대다수의 랜섬웨어 공격은 윈도우 호스트를 대상으로 한다. 일단 호스트 하나가 감염되면 사용자 컴퓨터 환경 내 다른 윈도우 호스트로 퍼져나간다. 그런 식으로 충분히 많은 호스트에 랜섬웨어가 퍼지고 나면 공격자는 암호화 프로그램을 작동시킨다. 그러면 사용자의 세계가 전체가 갑자기 멈춰버린다. 따라서, 무엇보다도 백업 서버를 윈도우 아닌 다른 것으로 사용해야 한다.

안타깝게도 인기 있는 백업 제품은 주로 윈도우에서 실행되는 것이 많다. 그나마 다행한 것은 리눅스 대안을 제공하는 것도 많다는 것이다. 비록 기본 백업 소프트웨어는 반드시 윈도우 상에서 실행해야 한다고 하더라도 리눅스 미디어 서버 옵션이 갖춰져 있을 수도 있다. 미디어 서버가 핵심이다. 사용자가 보호하려고 하는 데이터가 있는 곳이 미디어 서버이기 때문이다. 리눅스 기반 미디어 서버를 통해서만 접근 가능한 백업은 윈도우 기반 서버에 대한 랜섬웨어 공격이 침범할 수 없다.

리눅스 기반 미디어 서버 뒤에는 주기적인 백업은 물론 기본 백업 서버의 백업도 반드시 저장해 두어야 한다. 백업 물론 백업 접근에 필요한 데이터베이스마저 랜섬웨어로 암호화되어 있다면 백업을 복호화하는 것은 아무 소용이 없다.

또한, 윈도우 기반 백업 서버는 보호를 최대한 강화해야 한다. 랜섬웨어가 서버 공격에 사용하는 서비스(예: RDP)를 알아내서 최대한 많이 해제해야 한다. 명심할 점은 이 서버가 최후의 방어선이며, 따라서 편리함이 아닌 보안을 생각해야 한다.
 

백업을 데이터센터 외부로 보내기

어떤 백업 솔루션을 선택하든 간에, 백업 사본은 저장 위치가 달라야 한다. 단순히 클라우드 내 가상 머신(Virtual Machine, VM)에 백업 서버를 배치하는 것 이상을 의미한다. VM이 데이터센터에 있을 때와 마찬가지로 전자적인 접근이 가능하다면 그만큼 공격하기도 쉽다. 사용자의 데이터센터 내 시스템에 대한 공격이 클라우드 내 백업 시스템으로 전파될 수 없는 방식으로 구성해야 한다. 방화벽 규칙, 운영 체제 및 저장 프로토콜 변경 등 다양한 방법으로 가능하다.

예를 들면, 대부분의 클라우드 업체들은 객체 스토리지를 제공하며 대부분의 백업 소프트웨어 제품 및 서비스는 그 스토리지에 기록할 수 있다. 랜섬웨어 공격자들은 수준이 높을지 모르지만, 객체 기반 스토리지에 저장된 백업을 공격하는 방법까지는 아직 알아내지 못했다. 또한, 객체 스토리지 제공업체들은 한번 기록하면 수정할 수 없는 WORM(Write-Once, Read-Many) 옵션을 제공한다. 즉, 심지어 관계자조차도 백업을 수정하거나 삭제할 수 없는 기간을 지정할 수 있다는 뜻이다.

사용자 인터페이스를 통하지 않고서는 접근할 수 없는 스토리지에 데이터를 기록할 수 있는 백업 서비스도 있다. 사용자가 백업을 직접 볼 수 없다면 랜섬웨어도 마찬가지다.

감염된 윈도우 시스템으로부터 백업(또는 최소한 한 개의 백업 사본)을 최대한 멀리 떨어뜨려 놓겠다는 방안이다. 백업은 방화벽 규칙으로 보호되는 제공업체의 클라우드에 배치하고, 백업 서버에는 다른 운영 체제를 사용하고, 백업 다른 종류의 스토리지에 기록한다.
 

백업에 대한 파일-시스템 접근 제거

백업 시스템이 백업을 디스크에 작성한다면, 일반적인 파일-시스템 디렉토리를 통해 접근될 수 없도록 최선을 다해 조치해야 한다. 예를 들어, 백업 데이터를 두기에 가장 안 좋은 장소는 E:\backups이다. 랜섬웨어 제품은 그러한 이름이 붙은 디렉토리를 특히 노리고 있으며 그곳에 있는 백업을 암호화해버릴 것이다. 

따라서, 디스크에 저장되는 백업이 운영 체제에서 파일로 보이지 않도록 하는 방법을 알아내야 한다. 예를 들면, 가장 흔한 백업 구성 가운데 하나는 서버 메시지 블록(SMB) 또는 네트워크 파일 시스템(NFS)을 통해 백업 서버에 마운트 된 타깃 중복 제거 배열에 백업 데이터를 기록하는 백업 서버인데, 이 서버가 랜섬웨어 제품으로 감염되면 해당 타겟 중복 제거 시스템상의 백업이 암호화될 수 있다. 디렉토리를 통해 접근 가능한 백업이기 때문이다. 해당 백업 제품이 SMB 또는 NFS를 사용하지 않고 타깃 중복 제거 배열에 기록할 수 있는 방법을 조사해야 한다. 인기 있는 백업 제품에는 모두 그러한 옵션이 있다.
 

테이프는 어떨까?

물론, 우리들의 오랜 친구 테이프가 있다. 테이프는 어젯밤 또는 지난주의 백업을 복사하기에 매우 좋은 매체이다. 복사를 마친 후 외부의 다른 장소로 보내면 랜섬웨어 공격으로부터 안전하게 보관할 수 있다. 사용자가 테이프 라이브러리에서 백업을 꺼내어 아이언 마운틴 운전기사에게 줘버린다면 아무리 좋은 랜섬웨어 제품이라도 백업을 감염시킬 도리가 없다. 옛날 방식이 최고일 때도 있는 것이다.
 

장애물 배치

사용자는 백업을 랜섬웨어가 확인하고 암호화하기 쉽게 만들어서는 안 된다. 가능하면 윈도우 서버에 저장하지 말고 사용자의 데이터센터로부터 전자적으로 접근할 수 없는 장소에 최소한 하나의 사본을 저장하도록 한다. 마지막으로, 백업 시스템을 구성할 때는 백업이 사용자의 백업 서버상에서 파일로 보일 수 없는 방식으로 해야 한다. 랜섬웨어 공격이 발생할 경우 최소한 싸울 기회를 스스로에게 부여해야 한다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.