정말 사골이 될 정도의 단골 메뉴인 랜섬웨어에 대한 얘기를 다시 꺼낸다. 정말 사골인데, 왜 아직 이 랜섬웨어를 제대로 알지 못하고, 제대로 막지 못하고 당해야만 할까?
제 생각에는 현실성 없는 대안이 너무 많다라는 것이다. 백신도 사고, 랜섬웨어 전용 솔루션도 사고, 백업솔루션도 사고, 장비도 사고 도입할 것이 너무 많다.
랜섬웨어에 대한 근본적인 문제점과 해결할 수 있는 방안이 상세히 나와 있는 자료를 찾기가 너무 힘들다. 왜일까? 각 벤더별로 자기 것이 대안이라고 얘기 하기 때문이다. 그리고 상대방의 솔루션을 잘 모른다. 더군다나 랜섬웨어 자체가 어떤 로직을 가지고 있는지도 모른다. 그냥 암호화시켜서 돈버는 악성코드로만 안다.
나는 IT쪽에서 백업 솔루션 컨설팅 및 세일즈를 하고 있다. 다만 글을 쓸 때는 제가 세일즈 하는 제품에 대한 언급은 최대한 자제하고 모두에게 도움이 될 수 있는 주제와 그에 대한 대안을 얘기하려고 노력한다. 오늘은 위의 랜섬웨어에 대한 효과적이고 현실적인 대안에 대해 얘기를 해보고자 한다.
랜섬웨어가 왜 바이러스 보다 위험한가?
악성코드는 랜섬웨어, 바이러스, 스파이웨어를 통틀어 얘기하는 단어인데, 유독 요즘 랜섬웨어가 매우 큰 문제를 가지고 있다고 얘기한다.
생각해보자. 기존에 바이러스가 감염이 되면 파일을 살릴 수 있었는가? 그렇지않다. 바이러스가 감염이 되면, 백신 벤더가 감염파일을 원복해주는 알고리즘의 패턴을 만들어 백신에 배포하지 않는한 답이 없었다. 그래도 오래 기다리고 요청한다면 복구 가능한 패턴을 업데이트 해주고 복구가 가능하였다.
그런데 왜 랜섬웨어가 더 큰 문제인가? 랜섬웨어는 원본파일을 바이러스와 같이 똑같이 훼손을 시키는 면서 복구에 필요한 알고리즘 특정 부분에 “복구키“를 넣어야 하기 때문이다.
복구키를 생성하는 알로리즘을 만드는 것을 거의 불가능하다. 악성코드가 생성될 때 암호화키를 해커에게 전달해주고, 그에 맞는 복구키를 생성받아서 복구를 해야 하기 때문이다.
랜섬웨어 감염 후 물리적인 디스크를 복구가 가능하지 않냐? 라고 물어보는 분들이 계시다. 그런데 그부분은 거의 불가능하다. 디스크의 특성상 파일은 디스크 섹터에 기록이 된다. OS에서 파일을 삭제했다는 의미는 섹터 주소값을 없애서 해당 위치를 못찾게 한다는 것이다. 따라서 복구 툴을 사용해서 섹터에 기록된 내용을 다시 뒤지면 복구가 가능한 것이다.
그러나 랜섬웨어는 원본파일 편집한 것이다. A라는 엑셀 파일을 열어서, 그 안에 암호화되는 내용을 막 섞어서 다시 저장을 하였기 때문에, 삭제와는 달리 원본이 변형되었다. 그에 따라 복구 툴로 살리는 것이 거의 불가능 하다.
랜섬웨어에 가장 좋은 대처 방법은 백업??
랜섬웨어 뿐만 아니라, 어떤 상황의 데이터의 유실을 막으려면 백업을 해야 한다고 강조 한다.
그런데, 백업도 매우 잘해야 한다. Windows 기반의 백업 솔루션을 사용하고, NTFS에 백업본을 저장한다라면 악성코드(랜섬웨어 바이러스)에서 자유로울 수 없다. 그래서 보통은 1차 Disk 백업 후 2차 Tape 백업을 권장한다. Tape은 앞으로도 없어지질 않을 매우 중요한 백업 수단이다.
OS에 할당된 디스크는 파일시스템(NTFS등)이므로 접근 및 쓰기가 가능하다. Tape은 파일 시스템이 아니다. 저장 매체일 뿐이고, 그래서 접근은 OS의 파일을 Tape에 Write 해주는 S/W을 통해서만 가능하다. 그래서 Tape은 최악의 상황에서 원본 복구가 가능할 수 있다. 다만 Tape 쓴다면 Tape 교체 및 백업 S/W 도입비용, 지속적인 관리 비용을 감수 해야 한다.
스냅샷이란??
백업과 스냅샷은 밀접한 관계가 있는 기술이다.
스냅샷이란 특정 시간에 파일시스템을 복사해서 (Point-In-Time Copy) 보관하다가 나중에 원본에 문제가 생겼을 때 복원을 해주는 기능이다.
스냅샷의 가장 큰 장점은 스냅샷 생성 시간과 복구 시간이 아주 매우 빠르다는 것이다(수분이내). 백업소프트웨어를 사용하여 백업과 복구를 하는것과는 비교가 되지 않는다.
왜냐하면, 전통적인 백업은 백업 대상의 파일을 복사하여 보관하는 반면, 스냅샷을 생성하게 되면 현재 시점의 데이터가 들어있는 블록의 위치값들을 리스트로만 만들어 저장 해놓기 때문이다.
이러한 스냅샷을 생성 및 관리하는 주체는 OS 또는 스토리지 내부의 스냅샷 관리자 이다.
혹시 스냅샷 저장 후 변경되는 데이터는 어떻게 처리가 되는지 궁금한가?
그러면 많은 부분을 지면에 할애해야한다. (https://m.blog.naver.com/cheory79/220694992055 에 매우 상세한 내용이 있다. 현재 HP에 인수된 님블스토리지에서 작성한 스냅샷 개념을 어느분이 저장해놓은 글이다.)
백업과 스냅샷의 차이점.
백업과 스냅샷을 많이 혼돈한다. 결론을 보자면 데이터를 복구한다는 부분에서는 동일한 기능을 한다. 하지만, 백업은 원본위치(디스크)에서 다른 매체로 복사를 한다는 개념이다. 그만큼 복사본을 저장하기 위한 용량(비용)과 시간이 많이 필요하다.
반면, 스냅샷은 원본위치(디스크)의 일부 공간을 복구용 저장소로 사용한다. 즉, 원본 저장소가 하드웨어적인 문제가 생기면 스냅샷도 소용이 없다는 것이다.
그리고,스냅샷은 생성 및 복구가 매우 빠르다. 또한, 원본 저장소의 데이터가 인위적으로 변경되거나 지워져도 바로 복구가 가능하다.
현실적인 랜섬웨어의 대안은 스냅샷 + 백업 이다.
기업을 생각해보자. 저희 회사는 10명 규모의 작은 회사이다. 업무 파일 공유용 서버다 1대 있고, 그밖에 서버가 7대 정도가 있다. (IT회사이니까 많다고 치고)
다른 기업도 마찬가지이다. 파일서버는 거의 다 있고, 회사의 중요 파일은 집중화 되어 있다. 다들 백업은 하고 있을까? 또는 잘못된 백업 방식으로 백업을 하고 있지는 않은가?
제가 생각한 가장 좋은 정답은 스냅샷 기술과 백업솔루션을 함께 사용 하는 것이다. 두 가지 기술이 비슷하지만 다르고, 상호 보완을 해줄 수 있는 최적의 조합이기 때문이다.
회사 내 협업을 위한 업무 공유 형태를 조금 살펴 보고 현재 대부분 회사에서 백업을 하고 있는 형태를 비교하면서 위의 대안이 왜 좋은지를 설명하겠다.
악성코드(랜섬웨어)에 취약한 업무 공유 형태
- Windows 기반의 OS로 네트워크 공유 폴더를 각 PC에서 연결 및 사용한다.
- 백업을 하긴 하는데, 같은 사내의 다른 Windows OS에 자동 복사 형태로 한벌을 더 둔다.
- 백업 솔루션은 비싸서 수동으로 DB를 파일로 덤프 후 USB에 복사한다.
- Windows 내의 스냅샷 기술로 볼륨을 하루에 1번씩 스냅샷 저장한다. (많지 않은 케이스)
- 백업 솔루션은 비싸서 수동으로 DB를 파일로 덤프 후 USB에 복사한다.
보통 100인 이하의 회사의 백업컨설팅을 가보면 상기 방법대로 많이 백업을 한다고 하신다.
문제점을 하나씩 보자면, 공유폴더로 마운트된 PC에서 악성코드 감염시 공유폴더 파일 역시 암호화가 된다.
또한 원본 데이터를 복사하여 다른 PC에 저장을 한다라고 할 때, 악성코드에서 Windows 보안 취약점을 사용한 악성코드 전파 및 감염에는 완벽하게 대응이 어렵다. USB 디스크 역시 연결되어 있다면 감염이 된다.
마지막으로 Windows 안에서도 스냅샷을 생성하고 복원 할 수 있다. 다만 랜섬웨어가 감염되면, 첫번째로 Windows 의 모든 서비스를 중지시키고 생성된 스냅샷 지점을 전체 삭제하여 복구가 어렵게 만들고, 파일을 암호화 한다.
위에 부분에 대한 문제점을 추가적으로 막기 위해서는 조금 더 노력하여 아래와 같은 업무 공유 형태를 권장한다.
악성코드(랜섬웨어)를 방어할 수 있는 업무 공유 형태
- NAS 전용 OS가 탑재된 NAS를 파일서버로 사용한다.
- NAS에 볼륨 스냅샷 기능을 사용하여 하루에 2번 이상 스냅샷 생성을 한다.
- 중요 서버의 DATA는 NAS의 파일 동기화 Tool을 사용하여, NAS에 자동 저장 되게 한다.
- NAS는 BOX나 One Drive와 같은 클라우드 저장소와 다시 복제를 한다.
- 백업 솔루션을 사용하여, 중요 서버에 대한 백업은 1차 Disk 백업 후 2차 Tape 백업을 한다.
효과적인 공유 형태중 첫번째를 살펴보면, 전용 NAS 장비를 사용하자이다.
파일공유를 위해서는 PC 또는 서버 하드웨어를 사용한다. 그 비용을 NAS가 대체 한다고 생각하면 편할것이다. NAS에 내장된 전용 OS는 Windows 만큼 보안취약점 노출 적고, 또한 악성코드 실행을 할 수 있는 환경이 매우 제한적이라 조금 더 안전할 수 있다. 그리고 위에서 언급한 스냅샷 기능을 가지고 있다. (SMB 시장에 강한 시놀로지 및 QNAP 제품중에 스냅샷 기능이 있는 제품을 구매하는 것이 가성비로 좋다.)
NAS 역시 파일 서버와 마찬가지로 공유폴더 형태로 다른 PC에 연결될 수 있다. 이 경우 감염의 주체가 PC이며 공유된 NAS 폴더도 암호화 공격 대상이 된다. 물론 감염도 된다.
악성코드(랜섬웨어) 감염에 따른 대안이 2번이다. NAS OS에 탑재된 스냅샷 기능을 통해 공유폴더 및 볼륨의 스냅샷 저장 및 복구가 가능하다. 보통 HP IBM 스토리지벤더의 스토리지는 고가이므로, 작은 회사에서 NAS를 도입하여 스냅샷을 통한 복구를 할 수 있으므로 큰 메리트라 생각된다. 이렇게 되면, 해당 공유 폴더가 감염이 되었더라도, NAS OS에서 해당 볼륨을 스냅샷 복구를 하면 바로 원래 데이터를 사용할 수 있다.
3번째는 중요한 서버는 역시 원본을 다른곳에 복사본을 두어야 한다는 것이다. NAS에 백업을 하기 위한 솔루션 역시 시놀로지와 큐냅과 같은 NAS 벤더에서 함께 번들 제공이 된다. 손쉽게 데이터가 생성되면 바로 실시간 복사가 되는 Sync 형태의 솔루션을 사용하면 된다. 저장된 데이터는 스냅샷을 통해 함께 보호가 된다.
4번째 대안을 제시한 이유는 NAS의 Disk가 물리적 장애로 인해 복구가 불가능한 경우를 대비해서이다. 이러한 클라우드 서비스로의 동기화 역시 NAS 안의 소프트웨어로 가능하다. 최악의 상황을 대비를 하자.
5번째는 조금 고급스러운 대안이다. 조금 잘 사는 회사는 서버가 여러 대이다. 메일서버, ERP서버, 오라클 서버, MSSQL서버 등등 이러한 서버는 매우 비싸고 다시 재구축 하기도 어렵다. DB가 주로 있기에 파일 단위로 복사하는 것도 한계가 있다. 이럴 경우에는 백업솔루션을 꼭 쓰시기를 권장한다. 1차 Disk 백업으로 빠른 복구 가능하도록 하고, 최후의 보루를 위해 Tape 소산을 고려하자.
끝으로
매번 제가 알고 있는 지식이 IT관련 종사자분들에게 도움이 되었으면 하는 마음으로 글을 쓴다. 그런데 먹고 살아야 하니, 정말 시간을 내서 이렇게 글을 쓰는 것이 어렵다. 지금도 거의 2시간 30분을 쓰고 있다. 4페이지를!!. 이렇게 투자된 나의 시간이 다른 분들에게 도움이 되었으면 한다.
IT 지식은 너무 넓다. 글쓴이가 알고 있는 지식이 잘못된 것을 비판하고 지적을 해주시는 것은 감사하다. 다만 지적 및 반론을 제시하는 분의 논리와 팩트가 정확해야 한다. 요즘 온라인상에서 반론의 대부분은 몇글자 안되는 인신공격과 팩트 없이 자기 주장을 하는 내용이 많아서 조금 걱정이라 드리는 말씀이다.
나중에 나중에 다시 쓸 내용은 다시 백업이다. 시스템백업 & 데이터백업 & DR 등 다 비슷한 얘기들인데, 뭐가 가장 좋은 대안인가를 다뤄 보겠다.
모두 읽어 주시느라 수고하셨습니다.
아이비인포텍㈜ 윤주병 대표
0 Comments
댓글 쓰기