멀티 계층화 백업 전략으로 랜섬웨어에 맞서기

랜섬웨어는 가장 빠르게 증가하는 사이버 범죄의 일종으로, 엄청난 재정적 타격을 주고 있습니다. FBI가 추산한 바에 따르면 2016년에 신고된 금액은 10억 달러이며, 신고되지 않는 경우도 많습니다. 범죄자들은 랜섬웨어 공격으로 컴퓨터 시스템에 멀웨어를 유입시켜 저장된 파일을 체계적으로 암호화한 후 암호를 푸는 대가로 돈을 요구합니다. 이들이 요구하는 돈은 주지 않는 것이 좋습니다. 이것이 공격을 조장하는 것은 물론 돈을 준 후에도 데이터를 모두 복구하지 못한 조직들이 많기 때문입니다. 확실한 데이터 보호 시스템을 만들 수 있는 훨씬 더 좋은 해법이 있습니다.

유명 대학을 공격한 랜섬웨어

최근에 미국의 유명 대학이 사이버 범죄의 공격을 받은 예가 있습니다. 이 공격은 치밀하게 계획되었습니다. 이들은 가짜 이메일과 기타 방법으로 트로이목마 멀웨어를 유입시킨 후에 전면적인 공격을 단행했습니다. 이 멀웨어는 Windows 기본 형식인 NTFS 파일을 공격하였고, 물리적 서버와 가상 서버, 랩톱, USB 드라이브 같은 장치로 확산되었습니다. 토요일 밤에 시작된 공격은 백업 서버부터 시작하여 다른 장치로 확산되어 갔습니다. 디스크에 있던 멀웨어는 파일을 암호화하여 읽을 수 없게 만들었습니다.

손상을 최소화하는 비결은 빠른 복구

공격이 좀 더 일찍 발견되었을 수도 있었지만 신임 백업 관리자는 최초 조짐이 나타났을 때 멀웨어를 감지하고 시스템을 정지하는 방법을 잘 몰랐습니다. 이 멀웨어가 8시간 동안 파일들을 암호화한 후에야 관리자는 읽을 수 없는 파일이라는 것을 알아차리고 IT 책임자를 찾아가 모든 시스템을 정지시켰습니다. 그동안 이 대학의 가상 기기(VM) 전체를 포함해 120개 서버의 20,000개 파일이 잠겼습니다. 요구한 랜섬값은 몇십만 달러에 이르렀습니다. 그러나 이 대학은 돈을 주지 않기로 결정했습니다. IT 팀에 데이터를 안전하게 복구할 수 있는 데이터 보호 방법이 있었기 때문입니다.

복구의 필수 구성요소인 테이프 백업 레이어

이 대학은 디스크부터 백업을 시작했지만, 백업은 NTFS로 저장되었기 때문에 훼손된 상태였습니다. 다행히도 IT 팀은 LTO 테이프 라이브러리에도 백업을 기록해두었습니다.

디스크의 백업 사본이 암호화되었지만 테이프 레이어는 영향을 받지 않았습니다. 공격이 시작되기 전에 테이프로 파일이 기록되었기 때문입니다. 그리고 오염된 사본이 테이프에 도달했다고 해도 멀웨어가 확산되지는 못했을 것입니다. IT 팀은 시스템을 완전히 청소하고, 테이프 백업에 있는 것으로 모든 것을 다시 구축하기로 결정했습니다. 전체 과정은 2주 정도 걸렸습니다.

중요한 역할을 할 수 있는 아카이브 전략

이 대학은 감염되었던 디스크에 시스템을 직접 재구축하는 대신 대학의 아카이브(즉 퀀텀의 Lattus 솔루션을 사용하여 오브젝트 스토리지 기반의 프라이빗 클라우드에 일부 데이터의 중복 사본을 생성하는 퀀텀 StorNext)를 사용했습니다. 이 팀은 멀웨어가 StorNext Lattus 아카이브로 확산되지 않은 것을 확인했습니다.

Lattus는 오브젝트 스토리지 기술을 사용하여 데이터를 다양한 디스크 스핀들과 여러 위치(선택사항)로 분산시켜 보호하는 확장성이 매우 뛰어난 아카이브입니다. 이 팀은 Lattus를 안전한 스테이징 영역으로 사용하여, 시스템을 복원한 후에 깨끗해진 원래 서버 인프라에 설치했습니다.

복구 계획으로 손실 최소화

테이프의 사본과 Lattus 작업 영역에는 IT 팀이 모든 백업 데이터를 복구하여 시스템을 재구축하는 데 필요한 모든 것이 있었습니다. 다시 만들어야 했던 유일한 데이터는 일부 랩톱과 USB 드라이브의 백업 시스템 밖에 저장된 약 600GB의 파일이었습니다.

최종 결론 랜섬웨어 방식의 사이버 공격은 빈번히 일어나고 완전히 막기 어려울 수 있습니다. 그렇지만 테이프를 포함한 다양한 종류의 매체에 여러 데이터 사본을 두는 백업 전략으로 데이터 손실을 막거나 최소화할 수 있습니다.