소리 없이 침투하는 랜섬웨어, 스마트한 솔루션으로 철벽 방어(II)

 

랜섬웨어 대응 전략 및 솔루션 그 두 번째 시간!

 

지난 1회차에 소개한 ‘WORM 스토리지 vs WORM 파일시스템, 당신의 선택은?’에 이어 이번 포스트에서는 ‘스토리지 스냅샷을 이용한 사이버 위협 대응’과 ‘차세대 데이터 보호 솔루션’의 두 가지 전략 및 솔루션을 소개한다.

 

 

Strategy 02 / 스토리지 스냅샷을 이용한 사이버 위협 대응

 

강력한 에어갭 구성으로 데이터 보호

 

랜섬웨어 등의 사이버 위협에 대비하려면 에어갭(Air Gap)을 구성해야 한다. 에어갭은 디바이스와 네트워크의 나머지 부분이 상호 연결되지 않은 상태를 나타낸다. 원본과 백업 본에 서로 접근할 수 없도록 보호층을 구성하기 때문에, 원본이 사이버 공격을 받더라도 백업본을 보호할 수 있다.

 

가장 강력한 에어갭은 원본과 백업의 물리적 저장 장치뿐만 아니라, 네트워크까지도 모두 분리해 접근을 완벽히 차단하는 방법이다. 다음은 원본과 백업본이 동일한 서버 및 스토리지를 공유하지만 네트워크는 물리적으로 분리되어 외부의 네트워크를 원천 차단 및 보호하는 방법이다. 마지막으로, 네트워크나 물리 장치는 분리하지 못하더라도 논리적 분리, 즉 백업본에 대해 액세스 컨트롤 혹은 VPN 등의 암호화를 통해 허가받은 사용자만 접근할 수 있는 기본적인 보호 방법도 있다.

 

사용자의 실수든 랜섬웨어의 감염이든 최악의 경우 백업본까지도 삭제 또는 훼손될 수 있다. 이런 경우를 방지하려면 에어갭된 변경불가 스냅샷을 통해 백업을 수행하는 방법이 있다. 앞서 소개한 ‘VSP One File’에서 언급한 것처럼, 변경불가 스냅샷은 특정 기간 동안 삭제나 수정이 되지 않는 스냅샷을 의미한다.

 

이와 같은 데이터 보호 방법으로서, HS효성인포메이션시스템의 대표적인 스토리지 VSP는 Thin Image Advanced 스냅샷을 이용한 변경불가 스냅샷 기능을 기본으로 제공한다.

 

 

Thin Image Advanced를 이용한 변경불가 스냅샷

 

Thin Image는 스토리지 기반의 빠른 백업과 복구가 가능한 솔루션이다. MFA(Multi-Factor Authentication) 기반 접근 제어를 제공하는 옵스센터 프로텍터(OpsCenter Protector)를 이용해 GUI의 주기적인 스냅샷과 보관 주기 관리가 가능하다. Cascade 스냅샷인 Snap on Snap을 제공해 스냅샷에서 스냅샷을 생성함으로써 복사본을 이용한 포렌식, 테스트 등의 수행도 가능하다.

 

특별히 Thin Image Advanced 변경불가 스냅샷은 2단계에 걸친 스냅샷 데이터 보호를 제공한다.

 

첫 번째 단계는 스냅샷으로 백업된 데이터는 사용자 혹은 서버 네트워크를 통해 액세스 되지 않은 상태로 보관한다. 이를 통해 네트워크를 통해 오는 공격에 대한 1차적인 방어를 제공한다.

 

두 번째 단계는 특정 기간에 해당 스냅샷을 스토리지 관리자조차도 삭제할 수 없게 보존 기간을 설정하는 것이다. 스냅샷 생성 시 보존 기간을 설정하면, 해당 보존 기간 동안 스토리지 관리자조차도 스냅샷을 삭제하지 못한다. 이를 통해 사용자 실수 혹은 의도적인 데이터 훼손, 랜섬웨어 등의 멀웨어(Malware)로부터 데이터를 완벽하게 보호한다.

 

만약 원본이 훼손되었을 때, 랜섬웨어 등의 멀웨어에 걸리지 않은 시점의 최신 스냅샷을 확인하는 것과 함께, 랜섬웨어에 대한 포렌식이 필요하다. 무턱대고 해당 스냅샷으로 복구하는 것은 또다른 감염을 초래할 수 있다. Thin Image Advanced는 이를 위해 안전하게 에어갭으로 보호된 포렌식 서버에서 스냅샷의 스냅샷으로 해당 스냅샷의 감염 여부를 확인할 수 있다. 이를 통해 정상적인 최신 스냅샷을 확인할 수 있다. Thin Image Advanced는 정상적으로 확인된 스냅샷을 이용해 1분 이내에 복구를 지원한다.

 

 

HS효성인포메이션시스템만의 인프라 보호 전략

 

VSP 시리즈는 강력한 재해복구 및 백업 기능을 제공함으로써 재해와 사이버 위협에 대응하는 아키텍처로 정평이 나 있다.

 

먼저 물리적 장애에 대해서는 글로벌 액티브 디바이스(GAD) 기반의 액티브-액티브 미러링을 이용한 볼륨 이중화를 통해 침수나 화재, 전원 등 하드웨어 장애에 대비한다. 원격 데이터센터는 단독 또는 GAD와 결합한 UR(Universal Replicator)를 통해 데이터를 동기화한다. 특히 GAD와 결합한 3DC 센터 구성의 경우, 원격의 데이터센터도 RPO=0로 보호하는 최상의 데이터 보호 방안을 제공한다.

 

사이버 위협에는 GAD와 UR로 3중화 보호된 볼륨 각각에 Thin Image Advanced를 이용한 변경불가 스냅샷을 생성함으로써 대응한다. Thin Image Advanced는 각 VSP 시리즈에서 1024개의 시점 백업 이미지를 생성 가능하며, 3중화 데이터센터 모델의 경우, 최대 3072개의 시점 이미지를 생성할 수 있어서 RPO를 최소화한 백업 이미지를 생성할 수 있다. 스토리지 기반이므로 빠른 복구시간을 제공해 사이버 위협으로 인한 데이터 훼손 시 최단 시간에 복구 가능한 환경을 지원할 수 있다.

 

재해와 사이버 위협에 대응하는 HS효성인포메이션시스템의 전략

 

재해와 사이버 위협은 언제든 발생할 수 있다. 기업별 업무의 중요도와 성격에 따라 다양한 보호 방안을 마련할 수 있지만, HS효성인포메이션시스템만의 특별한 스토리지 보호 전략을 기반으로 자사만의 전략을 마련함으로써 비즈니스를 보호할 수 있는 안전 장치를 확보해야 한다.

 

 

Strategy 03 / 차세대 데이터 보호 솔루션

 

‘백업’을 여전히 보험처럼 여기는 기업들이 있다. 평소에는 눈에 띄지 않다가, 사고가 나면 존재 가치를 실감하기 때문이다. 하지만 랜섬웨어 공격의 빈도와 강도가 날이 갈수록 심각해지고 있는 현실에서, 백업은 더 이상 ‘보험’이 아닌 기업의 ‘생존 도구’가 되고 있다. 즉, 이제는 단순한 데이터 저장을 넘어, ‘서비스 지속성 유지를 위한 신속 복구가 가능한 데이터 보호 전략’을 준비해야 한다.

 

세계적인 데이터 보호 솔루션 전문 기업 Veeam의 백업 솔루션, 그리고 HS효성인포메이션시스템이 Veeam과 협업을 기반으로 출시한 차세대 데이터 보호 솔루션에 대해 알아본다.

 

 

Veeam이 제공하는 체계적인 백업 전략

 

먼저 Veeam 백업 솔루션의 대표적 데이터 보호 체계는 ‘3-2-1-1-0’ 전략이다. 구체적으로 ▲ 3개의 데이터 복사본을 보관하고 ▲ 2개의 서로 다른 저장 매체를 활용하며 ▲ 1개는 오프사이트(외부 장소)에 저장하고 ▲ 1개는 변경 불가능한(Immutable) 형태로 보관하고 ▲ 0개의 복구 오류를 유지하기 위해 정기적으로 복구 테스트를 수행한다는 전략이다.

 

이 전략은 물리적 장애, 사용자 실수, 자연재해, 악성코드, 랜섬웨어 등 모든 위협에 대응할 수 있는 복원력을 제공한다.

 

다음은 ‘업무 및 서비스의 완벽한 지속성 유지’ 부분이다. 랜섬웨어 공격으로 피해가 발생했을 경우 가장 중요한 것은 ‘얼마나 안전하게 데이터를 지켰는가?’가 아닌, ‘얼마나 빠르게 복구했는가’이다. 즉, 데이터 보호에서 제일의 목적은 서비스 연속성을 유지하는 것으로, Veeam은 다음과 같은 기술을 기반으로 데이터 보호 전략을 실행하고 있다.

 

· Immutable Backup: 백업 파일이 랜섬웨어에 감염되더라도 삭제 및 수정 불가 · MFA(Multi Factor Authentication), RBAC(Roll Based Access Control) 보안 기능: 내부자 위협 차단 · SureBackup: 백업된 데이터의 복구 가능성 자동 검증 · Application-aware 복구: Exchange, SQL, Active Directory 등 애플리케이션의 자동 인식 및 항목 단위 복원 · Instant VM Recovery: 가상 서버를 즉시 실행하여 서비스 중단 최소화

데이터 연속성 확보를 위한 Veeam의 주요 데이터 보호 기술

 

 

 

 

물리적 이원화를 통한 데이터 보호

 

Veeam의 다음 전략은 ‘물리적 이원화를 통한 데이터 보호 전략’이다. 데이터 보호 관점에서 디지털 기반 백업도 중요하지만, 완전한 보호를 위해서는 에어갭 역시 병행되어야 한다.

 

Veeam은 물리적 격리까지 고려한 다중 복구 경로를 기반으로 데이터를 보호한다. 구체적으로 ▲테이프 또는 오프라인 디스크 기반 백업 ▲Cloud Connect를 통해 MSP 외부 보관소로 백업 ▲변경불가+오프사이트 구성의 이중 보호이다. 이러한 구성을 통해 단일 지점 실패(Single Point of Failure) 없이, 다층 복구 환경을 구성할 수 있다.

 

한편, 최근에는 HS효성인포메이션시스템의 검증된 인프라와 Veeam의 데이터 보호 기술이 결합된 통합 어플라이언스 제품 ‘HVA(Hitachi Veeam Appliance)’이 출시되었다. 이 솔루션은 랜섬웨어 위협 대응, 클라우드 및 가상화 환경에서 데이터 이전 및 보호에 최적화된 솔루션으로, 최근 부각되고 있는 보안 취약성과 데이터 보호 문제에 효과적으로 대응할 수 있다.

 

HVA 백업 어플라이언스

 

랜섬웨어는 기업의 매출과 브랜드 가치까지 영향을 미치는 위협 요인으로 다가왔다. 이러한 위협을 통제할 수는 없지만, 피해를 최소화하기 위한 준비는 반드시 필요하다. 복원 가능한 백업, 복구 자동화, 신속한 복구 그리고 무결성 보호까지. 모든 요소를 갖춘 Veeam과 HS효성인포메이션시스템의 솔루션은 기업에게 있어 단순한 솔루션이 아닌 생존을 위한 전략적 파트너가 되고 있다.

 

‘복구에 성공한 조직만이 살아남는다.’ 이제는 준비된 조직만이 위기를 기회로 만들 수 있으며, 그 시작은 언제나 치밀한 데이터 보호와 백업 전략에서 시작함을 잊지 말아야 한다.