백업 데이터를 믿지 마라! 백업 데이터에 대한 제로 트러스트

2017년 SMB의 취약성을 이용한 Wannacry 랜섬웨어로 인해 전 세계가 난리가 난 적 있습니다. 그 후 우리는 랜섬웨어를 대응하기 위해 백업이라는 전략을 택했습니다. 즉 백업 데이터를 가지고 있기 때문에 랜섬웨어에 걸려도 괜찮다? 또는 백업 데이터로 복구하면 된다 라는 전략을 가지고 갔지만 이는 백업 데이터가 온전히 잘 관리되고 있을 때만 가능했었습니다.

 

사실 우리는 열심히 꾸준히 백업을 정해진 스케줄에 맞게 수행하지만 복구해 본 경험? 은 사실 거의 없거나 또는 한번 도 없을지도 모릅니다. 일단 백업 데이터만 가지고 있으면 랜섬웨어를 대응할 수 있다고 알고는 있었지 실제로 랜섬웨어에 걸려서 가지고 있던 백업 데이터를 사용해 복구해 보거나 모의 훈련을 통해 복구에 필요한 경험과 프로세스를 가지고 있지 않을 것입니다. 

 

사실 막대한 데이터를 복구한다는 것은 생각처럼 쉬운 것이 아닐 것입니다. 일부가 정상적으로 복구에 실패할 수 있으며, 백업 데이터 자체가 해커 또는 관리자의 잘못된 운영으로 인해 훼손될 수도 있습니다. 또는 우리가 예상하지 못한 요인들로 완전한 복구에 실패할 수도 있습니다. 

 

그렇다면 모든 것을 의심하자는 제로 트러스트 관점에서 백업 데이터를 한번 의심해 보겠습니다.

 

 

제로-트러스트 관점에서 완전한 복구에 실패할 수 있는 요인들에 대해 검증해 보고자 합니다. 

 

1. 백업 데이터만 있으면 랜섬웨어 대응이 될까?
2. 백업 데이터는 해킹으로부터 안전한가?
3. 백업 데이터를 저장한 곳은 안전한가?
4. 백업 데이터로 복구는 잘 되는가?
5. 다른 요인으로 데이터 손상은 없을까?

각 의심, 질문들로 부터 제대로 대답을 할 수 있다면 여러분의 백업 데이터는 온전히 복구가 잘 될 것입니다. 하나씩 살펴보겠습니다. 

 

백업 데이터만 있으면 랜섬웨어 대응이 될까?

 

우리의 IT관리자들은 백업 데이터가 있기 때문에 랜섬웨어로부터 안전하다고 착각하지만 해커들의 1순위 타깃은 바로 고객의 백업 데이터입니다. 

 

그뿐 아니라 백업 데이터가 랜섬웨어의 대응이 되기 위해서는 내가 가지고 있는 이 백업 데이터가 온전히 100% 복구가 성공한다는 확신, 검증 없이는 섣불리 랜섬웨어 대응이 된다고 할 수 없게 되는 것이죠.

 

2017년 영국 NHS(국민건강 보험 서비스)와 21년 Colonial Pipeline의 사례를 보겠습니다. 이 두 기업은 랜섬웨어에 걸리게 되었고 해커들에게 몸값을 요구받았습니다. 하나 백업 데이터를 가지고 있기 때문에 몸값 지불을 거절 후 복구를 진행했지만 일부 데이터의 복구에 실패하게 되었고 결국 몸값을 지불해야만 했습니다.

 

백업이란 최후의 보루라고 할 수 있지만 그것은 제대로 관리가 되었을 때의 이야기입니다. 그렇다면 백업 데이터가 최후의 보루가 되기 위해서는 

 

• 3.2.1 정책에 맞게 백업 데이터 관리
• 백업 데이터와 저장소가 안전한지 검증
• 지속적으로 백업 데이터의 무결성 검증
• 평소에 모의 훈련을 통해 최적의 복구 프로세스 수립

해당 항목에 대한 관리와 검증이 지속적으로 이뤄졌을 때 백업이 랜섬웨어의 대응이 될 수 있습니다.

 

백업 데이터는 해킹으로부터 안전한가?

 

백업 데이터는 해커들의 1순위 목표입니다. 백업 데이터가 기업의 가장 가치 있는 데이터라고 할 수 있습니다. 그렇다면 백업 데이터는 해킹공격으로 부터 안전하다고 할 수 있을까요?

 

 

침입에 성공한 해커들은 목표

 

• 볼륨 섀도 복사본, 백업 데이터 삭제
• 네트워크로 공유된 백업 암호화
• 손상된 백업 데이터 생성 유도
• 백업 에이전트 훼손

해커들은 기존의 백업 데이터를 훼손시키고 백업 에이전트를 망가뜨려 이후의 백업이 수행되지 못하도록 만들어 손상된 백업 데이터를 생성하도록 만들 것입니다. 그뿐 아니라 SMB, NFS로 연결되어 백업 데이터가 저장되는 저장소까지 감염시키려는 시도를 할 것입니다.

 

네 그렇습니다. 백업 데이터는 해킹으로부터 안전하지 못합니다. 그렇기 때문에 제 아무리 admin 권한을 갈취하더라도 백업 데이터가 삭제되거나 랜섬웨어에 걸리지 않는 기능이 필요합니다. 그뿐 아니라 백업 에이전트가 강제로 종료되지 못하도록 막는 기능 역시 필요합니다. 

 

일부 보안, 보안 솔루션들은 백업 데이터의 보호, 에이전트의 보호, 랜섬웨어가 네트워크를 통해 확산되지 못하도록 막는 기능을 제공하고 있습니다. 이러한 기능들을 적절히 사용해 백업 데이터를 보호하고 백업이 정상적으로 수행될 수 있도록 관리해야 할 것입니다. 

 

백업 데이터를 저장한 곳은 안전한가?

백업 데이터는 통상적으로 SMB, NFS로 구성된 네트워크 저장소에 쌓이게 될 것입니다. 서버, PC에 설치되어 있는 에이전트에서 해당 저장소로 백업 데이터를 전송하도록 만드는 것이 보통의 백업 솔루션의 구조이기 때문이죠.

 

그런데 SMB나 NFS를 사용하는 네트워크 저장소는 매우 보안에 취약하다는 사실을 알고 계신가요? 기본적으로 모든 서버에서 백업 데이터를 저장하기 위해서는 해당 포트를 열어야 하며 쓰기 권한을 가지게 됩니다. 즉 데이터 센터나 하나의 머신만 털리게 되더라도 백업 저장소까지 연결되어 영향을 받을 수밖에 없습니다. 그뿐 아니라 SMB 프로토콜 자체가 매우 취약합니다. Wanncry 역시 이 SMB의 취약성을 노린 공격이었죠. 

 

어찌 보면 기업의 가장 귀중한 자산을 가장 보안이 취약한 곳에 저장하는 아이러니한 상황이라 할 수 있습니다. 

 

 

 

백업 데이터를 저장한 저장소는 안전하지 않습니다. 그리고 해커들의 주요 타깃이죠. 해커들은 무엇이 들어있을지 모르는 서버를 분산해서 공격하기보다는 집중적으로 백업 데이터가 저장된 저장소를 노릴 것입니다. 

 

그렇다면 백업 데이터를 저장소를 보호하기 위해서는 아래의 조치가 필요합니다. 

 

• 데이터센터 외 클라우드 저장소에 백업 데이터 소산
• SMB 취약성에 대한 패치 진행
• 저장소 내 백업 데이터에 대해 위변조 불가능 기능을 가진 솔루션 도입  

 

백업 데이터로 복구는 잘 되는가?

 

백업 데이터가 안전하며 저장소 역시 안전하다고 가정했을 때 우리는 백업 데이터가 온전히 복구가 잘 될 것이라 확신할 수 있을까요?

 

IT관리자들은 백업 주기, 저장 위치, 복구 절차를 계획하지만 실제로 복구해 본 경험은 드물 것입니다. 그뿐 아니라 우리가 예상하지 못한 외적, 내적 요인들로 인해 실제 장애가 발생했을 때 성공적인 복구에 실패할 것입니다. 

 

 

복구가 실패하는 요인들인 아래와 같습니다. 

 

• 백업 데이터의 불완전성
• 백업 데이터의 오래된 버전 사용
• 복구 과정의 기술적 제한

우선 어느 정도 규모가 있는 기업이라면 백업 데이터의 양 역시 엄청날 것입니다. 이 많은 백업 데이터를 복구하려 할 때 예상치 못한 문제들이 발생할 수 있는 것이죠.

 

백업 데이터가 에이전트에서 생성 후 로컬 저장소 또는 클라우드 저장소로 전송될 것입니다. 이 과정에서 온전히 파일이 깨지지 않은 채 전송되지 않을 수 있습니다. 즉 네트워크 이슈로 인해 파일의 손상이 올 수도 있다는 것이죠. 그리고 백업 솔루션 자체의 이슈, 저장소의 문제로 인해 파일의 손상이 올 수도 있죠.

 

백업을 오랜 기간 수행하다 보면 오래 전의 데이터들은 버전이 낮아 복구에 실패할 가능성도 배제할 수 없습니다. 그리고 복구 과정에서도 다양한 요인들로 인해 복구에 실패할 수 있습니다.

 

즉 우리는 꾸준히 백업 데이터를 가지고 모의 복구 훈련을 진행하거나 백업 데이터 자체의 무결성에 대한 검증이 없다면 온전히 복구에 성공할 수 있다고 장담할 수 없습니다.

 

그렇다면 기존의 환경에 영향을 끼치지 않으면서 백업 데이터 복구를 검증해 볼 수 있는 기능, 그리고 백업 데이터 자체의 손상 없음을 검증하는 기능이 있어야 할 것입니다. 

 

다른 요인으로 데이터 손상은 없을까?

 

 

그 밖에 우리가 예상하지 못하는 요인들로 인해 복구에 실패할 수 있습니다.

 

멀쩡할 것만 같던 백업 데이터 저장소의 오류, 운영자의 실수로 백업 데이터를 삭제할 수도 자연재해로 데이터 또는 관리 서버가 손상될 수도 있겠죠.

 

그렇다면 저장장소의 오류, 자연재해에 대응하기 위해 또 다른 곳에 추가로 백업 데이터를 저장해 둘 필요가 있습니다. 다른 로컬 지역 또는 클라우드가 대안이 될 수 있습니다.  그리고 실수로 지워지더라도 복구가 가능한 기능을 가진 백업 솔루션을 사용할 필요가 있습니다.

 

이렇게 백업 복구가 실패하는 다양한 요인들을 알아봤습니다. 백업 데이터는 랜섬웨어 대응 방법이기는 하지만 복구에 걸리는 시간과 복구자체의 과정이 만만치 않습니다. 그렇다면 랜섬웨어를 방어하기 위해서는 처음부터 랜섬웨어에 걸리지 않는 예방적 조치와 백업이 동시에 이뤄진다면 보다 효율적으로 랜섬웨어 방어가 가능할 것입니다. 백업 솔루션을 도입하고자 할 때 이러한 것들을 고려해야 할 것입니다.