지난달 ‘워너크라이’ 랜섬웨어가 전세계를 강타했다. 다행히 국내는 큰 피해를 입지 않고 지나갔다. 그런데 한 달 뒤 웹호스팅 업체 인터넷나야나가 ‘에레버스’ 랜섬웨어 공격을 받으면서 큰 파장이 일었다.

인터넷나야나가 운영하고 있던 리눅스 서버 150여대가 랜섬웨어에 감염되면서 3000개 넘는 고객사 웹사이트가 줄줄이 피해를 입었다. 1만여개 고객사를 확보하고 있던 17년된 기업인 인터넷나야나 뿐만 아니라 호스팅 서비스를 받고 있던 고객사까지 갑자기 회사 문을 닫을 위기에 처했다.

별다른 해결방법을 찾을 수 없던 인터넷나야나는  결국 고객 데이터를 복구하기 위해 해커와 협상을 벌였다. 동원 가능한 현금 4억원과 지분매각까지 감수하며 빌린 돈으로 해커와 13억 상당의 비트코인(397.6BTC)을 3차에 걸쳐 지불하고 복호화 키를 받았다. 15일부터 순차적으로 복구작업을 시작해 계속 진행중인 상태이지만 완전히 복구하는데에는 시간이 많이 걸릴 것으로 예상된다.

이번 사태는 랜섬웨어 위협을 막을 수 있는 철저한 보안체계를 운영해야 하는 것은 물론, 만에 하나 감염이 되더라도 암호화된 데이터를 복구해 서비스 연속성을 확보할 수 있는 ‘백업’의 중요성을 일깨웠다.

이제는 시스템 손상이나 장애에만 대비한 백업체계에서 나아가 ‘랜섬웨어’같은 보안위협에 대비할 수 있는 백업체계를 수립하는 것도 매우 중요해졌다.

ransomware-hacker인터넷나야나는 3중 백업을 실시하고 있었다. 로컬서버단에서 1차 백업, 스토리지를 통한 스케줄링 백업, 그리고 백업서버에 저장하는 방식이다. 하지만  백업이 소용이 없었다.

물리적으로 분리돼 있지 않은 채 백업이 이뤄졌던 탓이다. 이에 따라 원본 파일은 물론 백업된 데이터까지 모조리 랜섬웨어에 감염돼 암호화됐다. 해결 방법을 찾지 못한 인터넷나야나는 결국 해커와 협상을 진행해 대가를 지불하고 복호화 키를 받아 볼모로 잡힌 데이터 복구 작업을 진행하고 있다.

황칠홍 인터넷나야나 대표는 언론과의 인터뷰에서 “호스팅 업체의 특성상 24시간 내내 운영되는 상황에서 단절 백업은 돼 있지 않은 구조”라며 “물리적 백업이 돼 있으면 안전하다고 알고 있지만 호스팅 업체들은 금융권처럼 수억원에 달하는 장비를 운영할 여력이 많지 않다”고 말했다. 인터넷나야나는 복구 작업과 함께 백업 정책을 다시 수립해 물리적 단절 백업을 시행할 방침이다.

호스팅업체뿐만 아니라 데이터를 확보하고 있는 기업 스스로 백업체계를 구축하는 것이 필요하다.

호스팅업체의 백업만 믿고 있다간 자칫 큰 일이 발생할 수 있다. 인터넷호스팅업체나 한국인터넷호스팅협회 표준약관에는 일차적으로 백업을 고객 의무로 명시하고 있다. 외부 침입으로 인한 고객사 데이터가 유출·누락될 경우 자체적으로 백업했을 때만 도움을 줄 수 있다고 돼 있다.


한국인터넷진흥원(KISA) 인터넷침해대응센터는 이번 사고가 발생한 뒤인 지난 12일, 랜섬웨어 피해 예방을 위한 백업체계 보안 강화를 권고했다. 기업에서 자료 백업체계를 구축·운영해야 하고, 네트워크가 분리된 외부 저장장치를 이용해 주요 자료를 백업하거나 별도 보관해야 한다는 점을 강조했다.

백업이란

정보시스템의 장애나 화재와 같은 재해로 인해 저장해 둔 정보가 소실되거나 손상될 경우에 대비해 일정한 시간 차이를 두고 데이터를 복사해 별도의 매체 디스크 혹은 테이프 등에 예비로 저장해두는 행위를 말한다. 이를 통해 사고로 시스템이나 파일이 피해를 입더라도 최근에 백업한 시점의 내용으로 복구할 수 있다.

백업은 백업대상을 기준으로 크게 데이터베이스 사용자 일반파일 및 운영체제(OS), 기타파일 등으로 분류할 수 있다.

백업은 정보보호관리체계를 수립해 운영하는데 있어 운영관리(시스템 운영) 항목에서 반드시 적용해야 한다고 강조돼 왔다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 일정규모 이상의 기업들에 의무화돼 있는 정보보호관리체계(ISMS) 인증 기준에서도 운영보안 통제항목에 포함돼 있다.

정보보호관리체계 인증 등에 관한 미래창조과학부 고시에 따르면, 운영보안 백업관리 데이터의 무결성 및 정보시스템의 가용성을 유지하기 위해 백업 대상, 주기, 방법 등의 절차를 수립하고 사고 발생시 적시에 복구할 수 있도록 관리해야 한다.

백업 및 복구

– 주요정보를 주기적으로 백업

① 재해 및 장애 발생 시 즉각적으로 시스템을 복구할 수 있도록 백업이 주기적으로 실시되고 있는가?
웹 소스, 웹 서버 설정 정보, DB 데이터, DB 설정 정보, 네트워크 장치의 설정 정보, 각 시스템에서 기록되는 로그, 정보보호시스템 환경설정 정보, 정보보호시스템 보안정책에 대하여 지침에서 정의한 절차에 따라 백업을 수행하여야 한다.데이터의 중요도에 따라 주기적으로 백업을 수행해야 한다.

② 백업 매체를 안전한 곳에 보관하고 있는가?
백업 데이터를 저장하는 백업 매체는 관리자만이 접근 가능한 곳에 안전하게 보관해야 한다.

오프라인 백업(Tape, CD, 외장형 HDD 등)을 수행하는 경우 백업 매체는 잠금장치가 설치된 물리적으로 안전한 장소에 보관해야 한다. 온라인 백업(백업 서버 등)을 수행하는 경우 백업 서버는 방화벽의 내부망에 위치하여야 하며 관리자를 제외한 외부로부터의 접근을 차단해야 한다.

또한 백업 서버에 대한 관리자를 지정하고 백업 서버의 용량 등을 주기적으로 점검해야 한다.

– 백업 담당자, 백업 및 복구 방법·절차·주기 등을 기록·관리

① 중요 정보에 따른 백업담당자가 지정되어 있는가?
백업을 수행하기 위한 백업담당자를 지정하여야 한다. 백업담당자는 백업이 정상적으로 이뤄지고 있는지 점검해야 한다.

② 백업 및 복구 방법 등을 기록 관리하고 있는가?
백업 및 복구 방법, 절차 및 주기에 대한 지침 또는 매뉴얼을 보유하고 있어야 한다.백업 대상은 웹애플리케이션 설정파일, 각 서버에서 생성된 로그, DBMS 설정파일을 포함해야 한다.

정보보호 준비도 평가지표에서도 기술적 보호 활동과 관련해 취약점 점검 정보보호 사고탐지·대응 시스템 개발 보안 네트워크 보안 자료유출 방지 시스템·서비스 운영 보안과 더불어 백업 및 IT 재해복구 능력을 진단하도록 명시돼 있다.

◆ IT재해재난시 적시에 복구할 수 있도록 백업 소산 및 복구 절차가 있는가?

① 데이터 무결성 및 정보시스템 가용성 유지를 위한 백업 및 복구 절차를 수립하고 있으며 백업 대상 시스템과 백업대상 데이터를 정하여 정기적인 백업을 수행하고 있다.

② 중요 백업 데이터를 비인가자의 접근으로부터 차단하고 외부 환경적인 위험으로부터 보호하기 위하여 내화금고 등에 안전하게 보관하고 있다.

③ 백업시스템을 이용한 실시간 백업 체계를 갖추고 중요 백업본은 일정거리 이상에 소산 백업을 실시하고 있다.

④ 백업 데이터를 활용해 연 1회 이상의 재해복구 훈련을 수행하고 있다.

데이터 관리 분야 글로벌 선두기업인 베리타스는 백업의 3대 원칙으로 ▲정기적인 스케줄링 기반 자동화된 백업을 실시해야 하고 ▲외부 저장장치 또는 원격 위치에 데이터 백업을 수행해야 하며 ▲리소스 유형에 따라 정책을 다르게 설정해야 한다고 제시하고 있다.

백업 데이터는 언제든 갑작스럽게 필요할지 모르기 때문에 주기를 설정해 정기적으로 자동화된 백업을 시행해야 한다. 수동 백업은 시점이 누락될 수 있고 백업 중 시스템이 느려지는 현상이 발생할 수 있기 때문에 비업무시간을 활용해야 한다.

일일/주간/월간 백업 등 백업 및 보관주기를 설정해야 한다.


로컬 하드드라이브(디스크)는 랜섬웨어 피해에 노출돼 모든 데이터가 감염될 수 있기 때문에 사본을 만들어 물리적으로 분리된 저장장치나 위치에 보관해야 한다. 별도의 테이프 장치가 없어 외장 하드디스크 등에 백업할 경우에도 귀찮다고 시스템에 연결해 놓으면 안된다.

원격 위치(중앙)에 백업되는 경우 백업시스템 보안 강화가 필요하다. 백업 업무 담당자를 지정해 정책에 따라 중앙에서 백업 관리와 통제를 수행해야 한다. 리소스 유형에 따른 백업은 크게 시스템 백업과 데이터 백업으로 나눌 수 있다.

시스템은 OS 영역과 데이터 영역을 분리해 백업을 시행해야 한다.

시스템(OS) 영역은 이미지 백업을 수행하는 것이 좋다. 만일의 경우 시스템을 깨끗한 상태로 되돌릴 수 있기 때문이다. 데이터의 경우엔 정교한 스케줄 기반 데이터 백업이 필요하다.

데이터 백업은 PC의 경우엔 실시간 자동화된 백업(CDP(Continue Data Protection) 기반 실시간 백업)이, 항상 켜져 있는 서버(파일서버, DB서버, 웹서버, 그룹웨어 등 업무시스템)의 경우엔 지정된 시간 스케줄·정책 기반 데이터 백업이 수행돼야 한다.

<출처 : 베리타스>

백업체계 구축 시나리오는 이렇다.

먼저 보호할 각 시스템에 이미지 백업 소프트웨어를 설치한다. 그 다음 이미지 백업 소프트웨어를 이용해 1차 로컬 디스크에 시스템 백업 이미지를 저장한다. 오프사이트 복제 기술을 이용해 사본을 물리적으로 분리된 2차 저장 위치로 전송한다. 백업을 수행할 때에는 만일의 시스템 장애시 빠른 복구 방안이 중요하다는 점을 염두에 두고 진행해야 한다.

재해복구(DR)센터를 운영할 예산과 인력 여력이 부족한 중소기업의 경우에는 가상화된 하이퍼바이저 환경으로 물리적 시스템 전체(OS, 데이터 등)를 복제해 보내는 방식(P2V)를 이용하는 방식을 고려할 수 있다.

스케줄 기반으로 백업 데이터를 가상 시스템으로 변환한 뒤 변환된 가상머신은 가상 플랫폼 저장소에 위치하게 된다. 평상시에는 시스템 패치나 변경 작업이 이뤄질 때 사용할 수 있는데, 장애 발생시에도 가상머신을 이용해 신속하게 서비스를 재개할 수 있다. 로컬 시스템에서 직접 복구할 수 없는 상황에서 가상화 환경에서 서비스를 가동해 복구하는 시간 동안 서비스 연속성을 확보할 수 있다.


P2V(Physical to Virtual)는 가상화 환경을 DR센터로 운영하는 방식이다.

KISA는 백업 체계 구축·운영 방법과 관련해 한국정보통신기술협회(TTA)의 정보시스템 백업 지침(TTAS.KO-10.0253)을 참고할 것을 권고했다.

글. 바이라인네트워크
이유지 기자 <yjlee@byline.network>


[온라인 컨퍼런스] 제조공장, 산업기반시설 ‘OT/ICS 환경 보안’ 방안 2022

‘다양한 산업 환경의 운영기술(OT)·산업제어시스템(ICS) 환경에서 정보 탈취, 운영 중단, 랜섬웨어 감염 등과 같은 악의적인 공격 시도와 보안 사고들이 지속적으로 나타나고 있습니다. 하지만 전체 자산에 대한 가시성을 확보하는 것은 물론, 지능형 위협과 이상 행위에 대해 포괄적인 탐지·보호·대응체계를 갖추는 것이 쉽지 않은 상황입니다. 10월 20일 이번에 개최하는 ‘OT/ICS 환경 보안 방안’ 온라인 컨퍼런스에서 OT/ICS 환경을 위협하는 요소들과 더불어 적절한 보안체계를 수립하는데 필요한 다양한 정보들을 얻어갈 수 있길 바랍니다.

일시 : 2022년 10월 20일 (목) 13:30 ~ 17:20
장소 : 온라인
문의 : byline@byline.network
자세히 보기