[디지털데일리 이건한 기자]백업은 보통 랜섬웨어의 가장 현실적인 대응책으로 꼽힌다. 틀린 말은 아니다. 그러나 단순 백업만으론 고도화된 랜섬웨어 위협에서 자유로울 수 없단 지적이 제기됐다.

19일 양재동 엘타워에서 개최된 ‘사라진 경계, ‘한국형 제로 트러스트’ 중심의 보안 혁신전략’을 주제로 한 차세대 기업보안 세미나 [NES 2023]에서 아크로니스의 문수호 사이버보호 전문 컨설턴트는 “지금 한국은 필연적으로 랜섬웨어 맛집이 될 수밖에 없는 환경”이라고 말했다. 랜섬웨어는 공격자가 피해자의 디지털 데이터를 암호화한 뒤 이를 풀어주는 대가로 ‘몸값’을 요구하는 악성코드다.

문 컨설턴트가 인용한 통계에 따르면 2020년 기준 한국에서 이뤄진 사이버 공격 중 60%는 랜섬웨어, 40%는 멀웨어였다. 같은 기간 전세계 사이버 공격 노출 비중은 랜섬웨어 20%에 불과했다. 왜 이런 차이가 날까?

문 컨설턴트는 “한국은 IT 인프라가 좋으면서 기업은 보안에 대한 낮은 인식과 적은 예산을 집행하는 나라”라며 “해커들에겐 랜섬웨어 공격에 적합한 나라”라는 인식이 있다고 말했다. 이어 “전세계 랜섬웨어의 주요 타깃은 제조업인데, 한국은 제조업 위주의 산업국가란 점도 이에 일조한다”고 덧붙였다.

이처럼 랜섬웨어 위협이 높은 환경이지만 관련 피해를 입은 기업 중 제대로 된 데이터를 돌려받는 비중은 15% 정도에 불과하다. 몸값만 지불한다고 피해를 온전히 회복하기 어렵다는 얘기다.

이 때문에 예로부터 3·2·1 백업(3개의 데이터 복사본을 2개는 다른 형식으로, 1개는 오프라인 저장소에 보관) 같은 원칙이 중요하게 대두됐으나 문제는 백업조차 완벽하지 않을 수 있다는 점이다.

문 컨설턴트는 ▲백업 데이터만 있으면 랜섬웨어 대응이 가능한가 ▲백업 데이터는 해킹으로부터 안전한가 ▲백업 데이터 저장소는 안전한가 ▲백업 데이터 복구는 잘 되는가 ▲다른 요인으로 인한 백업 데이터 손상 가능성은 없는가 등 5가지 요소를 추가로 확인해야 한다고 강조했다.

단순히 백업 데이터가 있는 건 대응이 될 수도, 안 될 수도 있다. 백업에 실패하는 경우가 있기 때문이다. 실제로 지난 2017년 랜섬웨어 공격을 당한 영국 국민건강보험 서비스는 백업을 두고도 해커에게 몸값을 지불해야 했다. 데이터의 100% 완전 복구에 실패했기 때문이다.

이는 다양한 이유로 백업 데이터가 손상될 수 있기 때문이다. 해커들도 랜섬웨어 공격을 할 때 동시에 백업 데이터를 함께 공격하거나, 백업 시스템을 교란해 정상적인 백업이 이뤄지지 않도록 하는 방식으로 진화하고 있다.

또 데이터 복구 경험이 흔치 않기 때문에 백업 과정과 보존 과정에서 데이터가 손상되는 경우, 백업 데이터와 복구 솔루션의 버전 차이가 생기는 경우 등에도 데이터의 온전한 복구가 어렵다. 이외에 자연재해, 저장장치 오류, 심지어 관리인력의 실수로 백업 데이터 손상 및 삭제 상황이 벌어지기도 한다.

이 때문에 일부 기업은 백업 외 ‘재해복구(Disaster recovery, DR)’ 시스템 구축을 추가로 고려하기도 한다. 하지만 구축 비용 부담이 높아 이마저도 쉽게 이뤄지기 어려운 현실이다.

아크로니스는 이 같은 불완전 백업에 대한 보완 솔루션을 자사의 핵심 경쟁력으로 꼽는다. 문 컨설턴트는 “우리는 엑티브 프로택션(Active Protectin) 방식을 기반으로 백업 보호와 랜섬웨어 방지를 동시에 제공한다”고 말했다. ‘다중계층통합보호’로 불리는 방식이다.

구체적으론 ▲예방적 보호를 통해 취약점의 선제적 패치 ▲능동 보호를 통한 멀웨어·랜섬웨어 탐지 ▲데이터 백업 보호 인프라 제공 ▲주기적인 백업 유효성 검증 등이 이에 포함된다.

이미 백업된 데이터도 지속·자동적으로 상태를 검증하고 복구 전에도 멀웨어 검사 등을 추가로 수행하므로 필요한 시점에 백업 데이터로 문제를 겪는 상황을 방지할 수 있다. 기업들이 인프라 불안정을 우려해 선뜻 진행하지 않는 NAS, SMB 등의 최신 버전 패치도 아크로니스 솔루션이 안전하게 대신해준다.

더불어 로컬 백업 저장소의 단점을 상쇄할 수 있도록 아크로니스가 자체 운영하는 데이터센터 기반의 온라인 추가 백업 저장소도 제공한다. 만약 클라우드 저장소 관리자 계정이 탈취돼 백업 데이터가 삭제되더라도 해당 데이터는 999일까지 지연 삭제 서비스가 제공된다.

DR의 경우 DR As a Service(서비스형 재해복구)를 함께 제공해 평상시 모의훈련, 장애에 대한 선별적 DR 적용 등도 가능하다. 이처럼 어떤 경우의 수에도 안전한 데이터 백업과 복구가 가능하도록 대응 체계를 구축해주는 것이 아크로니스 솔루션의 강점이다.

문 컨설턴트는 “아크로니스처럼 백업과 보안, 관리 및 DR을 통합된 형태로 제공하는 솔루션은 편의성과 비용절감 등의 효과도 기대할 수 있다”며 “아크로니스가 사이버 복원력 향상과 백업데이터의 꾸준한 검증 등을 돕겠다”고 말했다.