
안녕하세요. 오늘은 전산 관리나 사내 보안을 담당하시는 분들이라면 자주 고민하실 랜섬웨어 대응과 데이터 백업 솔루션에 대해 정리해 보려고 합니다.
최근 사내 중요 데이터 보호 방안을 재검토하면서 관련 자료들을 찾아보게 되었는데, 국내 랜섬웨어 피해 실태가 생각보다 심각한 수준이었습니다. 한국인터넷진흥원(KISA) 통계를 확인해 보니 랜섬웨어 피해 신고 기업의 80% 이상이 보안 인프라가 상대적으로 취약한 중소기업에 집중되어 있었습니다.
더 큰 문제는 시스템을 복구하기 위해 해커에게 비용을 지불하더라도, 실제로 데이터를 온전히 돌려받는 비율은 절반에도 미치지 못한다는 점입니다. 사실상 비용만 날리고 데이터는 복구하지 못하는 사례가 많기 때문에, 침해 사고 발생 시 자체적으로 즉각 업무를 정상화할 수 있는 확실한 백업 체계(BCP) 마련이 현실적인 대안으로 보입니다.
처음에는 일반적인 NAS 백업이나 클라우드 연동 방식을 주로 검토했습니다. 하지만 최근 랜섬웨어 공격 패턴을 보면, 내부망에 침투한 뒤 본 서버를 암호화하기 전에 네트워크로 연결된 백업 서버를 우선적으로 찾아내 무력화시키는 경우가 많다고 합니다. 즉, 기존처럼 양방향 통신 네트워크로 연결되어 있는 구조에서는 해커가 관리자 권한만 탈취하면 백업 데이터 역시 안전을 보장하기 어렵다는 한계가 있었습니다.
이러한 취약점을 보완할 수 있는 방안을 찾다가 '디포트리스(D-FORTRESS)'라는 백업 솔루션을 알게 되었습니다. 소프트웨어적인 접근 통제가 아니라, 하드웨어 단에서 침입 경로를 차단하는 방식이라 흥미로웠습니다.
디포트리스의 주요 원리는 데이터 다이오드, 즉 물리적 에어갭 기술을 활용하는 것입니다. 데이터가 백업 스토리지 방향으로 전송(저장)될 수는 있지만, 외부에서 백업 스토리지 내부로 접근하거나 역방향으로 통신할 수 없도록 회로를 물리적으로 단방향 설계한 방식입니다.
이 구조의 장점은 명확해 보입니다. 만약 사내 메인 서버가 랜섬웨어에 감염되고 최고 관리자 권한이 탈취당하더라도, 백업 서버에 "데이터 삭제" 또는 "암호화" 명령을 내릴 수 있는 물리적인 연결 통로 자체가 존재하지 않기 때문에 원본 데이터가 보존될 수 있습니다. 시스템 권한이 뚫리더라도 하드웨어적 단절 구조는 유지된다는 점이 기존 논리적 백업망과의 가장 큰 차이점입니다.
또한 실무자 입장에서 긍정적으로 보였던 부분은 도입 과정입니다. 기존에 사용 중인 백업 장비나 인프라를 전면 교체하는 것이 아니라, 기존 백업망의 최후단에 추가로 연결하는 하이브리드 구성이 가능하다고 합니다. 네트워크 구조를 크게 변경하지 않아도 되므로 도입에 따른 리스크나 비용 부담이 상대적으로 덜할 것으로 보입니다.
현재 사내 랜섬웨어 대응책을 고민 중이시거나 백업 시스템 고도화를 계획하고 계신 담당자분들이라면, 이러한 물리적 망분리 기반의 백업 방식도 선택지로 두고 검토해 보실 만하다고 생각합니다.
도입 검토 과정에서 참고했던 디포트리스 제품소개서 PDF 파일을 본문 파일 첨부 기능을 통해 올려두었습니다. 기존 소프트웨어 기반 백업과의 차이점이나 데이터 다이오드 아키텍처에 대해 좀 더 객관적인 내용이 필요하신 분들은 첨부 파일을 읽어보시면 도움이 될 것 같습니다.
랜섬웨어 위협이 계속 고도화되는 만큼, 각 기업 환경에 맞는 안전한 보안 인프라를 잘 구축하시길 바랍니다.
(자료 출처: https://dfortress.kr/)