개인 파일을 암호화하여 대가를 받고 돈을 요구하는 "크립토 랜섬웨어" 또는 "랜섬웨어"에 관해 들어 본 적이 있을 것이다. 이 맬웨어가 처음 뿌리를 내리면 겉으로 잘못된 점이 전혀 보이지 않는다. 멀웨어가 백그라운드(Background) 상태로 동작한 후에야 대가를 요구하는 것이다. 일반적으로 비트코인(Bitcoin) 또는 기타 형태의 디지털 화폐를 요구하게 된다.
초기의 몇몇 랜섬웨어는 소프트웨어 버그가 많았기 때문에 볼모로 잡힌 암호화된 파일을 복구할 수 있었지만 최근의 변종들은 해결이 훨씬 어렵다. 탄탄한 대칭 및 비대칭 암호화를 이용하기 때문이다. 대칭 암호화는 일반적으로 파일을 신속하게 뒤죽박죽으로 만들며, 비대칭 암호화는 적절한 사설 키를 가진 범죄자만이 데이터를 복구할 수 있도록 하곤 한다.
일부 최신 랜섬웨어 변종은 대가 지불이 지연될 경우 이를 처벌하기도 한다. 지정된 기한이 지나면 요구하는 대가를 2배 내지는 3배로 올리는 것이다.
랜섬웨어 대비의 핵심은 백업
랜섬웨어에 대항하기 위한 가장 효과적인 전략은 백업이다. 물론, 백업은 멀웨어 공격 전에 생성된 경우에만 유용하기 때문에 중요한 파일을 즉시 정기적으로 백업하는 것이 좋다. 다행히도 기업 파일을 복제하기가 상대적으로 쉬우며, 정기적이고 체계적인 백업을 수립해 실행하기에도 적당하다.
안타깝게도 단순한 파일 백업으로는 부족하다. 몇몇 백업 솔루션은 암호화 맬웨어에 취약하며 백업 저장소 또한 사이버 범죄자들에 의해 암호화될 수 있다. 특히 클라우드 기반 파일 동기화 서비스는 정상 파일을 손상된 버전으로 대체하기 쉽다.
그래서 고려해야 할 사항은 데이터 복구를 위해 제 때에 특정 시점으로 되돌아가는 기능과 백업이 저장되는 시간 간격, 저장된 파일에 접근하기 위해 필요한 시간 및 자원 등이다. 완벽하지는 않지만 아래의 3가지 백업 전략이 스스로와 조직을 보호하며 랜섬웨어 공격에 대비하는데 도움이 될 수 있다.
1. 전용 백업 소프트웨어로 랜섬웨어에 대응한다
랜섬웨어 공격을 방지하는 가장 간단한 방법은 PC의 모든 중요 콘텐츠를 정기적으로 백업하는 것이다. 전용 백업 소프트웨어는 하드 디스크 드라이브 전체를 복사하여 인터넷에 연결되어 있지 않고 백업을 오프라인으로 유지하는 외부 저장소 형태가 적당하다. 최근에는 외부 서버에 저장되는 시점 백업을 작성하며 유사한 수준의 보호를 제공하는 클라우드 서비스도 찾아볼 수 있다.
전체 백업은 많은 시간을 요구하지만 랜섬웨어에 대비하는 최선의 옵션인 경우가 많다.신종 랜섬웨어에게 공격을 받았을지라도 해킹된 데이터 전체를 복구할 수 있기 때문이다. 후속 백업은 이전 백업 이후로 추가된 변경 사항만 추출하기 때문에 총 저장소 공간이 크게 문제가 되지는 않을 것이다.
아크로니스(Acronis)의 트루 이미지(True Image) 같은 고급 데이터 백업 옵션은 다른 하드웨어에서의 데이터 복구를 지원하기 때문에 공격 당한 노트북의 모든 콘텐츠를 다른 제조사의 새 노트북으로 직접 저장할 수도 있게 해주기도 한다.
단 전체 백업의 경우 소요되는 시간과 자원 문제로 인해 백업 간격이 수 일에서 수 주 정도인 경우가 많다.
아크로니스 트루 이미지 클라우드. 특정 시점으로 PC 파일 전체를 되돌릴 수 있게 해준다.
2. 랜섬웨어와 NAS 백업
데이터 복구를 중시하는 일부 소비자와 중소기업은 백업을 위해 전용 NAS(Network Attached Storage) 기기의 사용을 고려할 수 있다. 암호화 맬웨어에 대항하기 위해 NAS를 설정하는 방법은 2가지다. NAS를 데이터 백업을 위한 ‘전용’ 저장소로 이용하거나 정기 시점 백업을 작성하도록 구성하는 공유 드라이브로 이용하는 것이다.
이 때 NAS로 직접 백업할 수 있지만 백업 2(Bvckup 2)같은 네트워크 연결 백업 유틸리티는 신뢰성은 물론 복사 속도 측면에서 추천할 만하다.
이 밖에 랜섬웨어가 NAS로 백업되는 파일에 접근하지 못하도록 차단할 필요가 있다. 이를 위해서는 백업 유틸리티를 구동하는 ‘백업 운영자’(Backup Operators) 그룹을 위한 별도의 사용자 계정을 생성해야 한다. 그리고 나서 NAS의 공유 네트워크 위치를 승인된 사용자를 제외한 모든 이에 대해 잠그면 된다.
NAS의 내장 기능 또한 공유 파일의 정기 백업 작성에 활용할 수 있다. 예를 들어, 저장소 전문기업 시놀로지(Synology)의 DSM 6.0 운영 플랫폼은 5분에 한 번식 공유 폴더의 시점 백업을 수행하도록 사용자 지정이 가능한 “스냅샷 레플리케이션(Snapshot Replication)” 기능이 지원하는데, 디스크 부하와 시스템 영향이 거의 없다는 특징을 지닌다.
NAS 방식의 단점은 암호화 맬웨어 방어를 위한 NAS 구성 및 사용에 일정 수준의 기술 역량이 필요하며, 구성이 잘못되면 파일이 잠재적으로 위험에 노출될 수 있다는 점이다.
시놀로지 DSM 6.0. 5분 마다 백업 스냅샷을 생성한다.
3. 랜섬웨어와 클라우드 백업
클라우드 저장소 서비스는 동기화로 인해 랜섬웨어에 대한 이상적인 보호책은 아닐 수 있다. 하지만 일부 서비스는 파일 버전 기능을 지원하며 이를 이용하면 손상되지 않은 파일 사본으로부터 복구가 가능하다. 하지만 많은 클라우드 제품이 제한적인 수정본만을 저장하기 때문에 해킹되지 않은 정상 파일이 목록에서 밀려 나갈 수 있음을 감안해야 한다.
마이크로소프트의 원드라이브(OneDrive)와 드롭박스(Dropbox)는 랜섬웨어로부터 파일을 보호하는데 잠재적으로 도움이 될 수 있는 2가지 클라우드 저장소 옵션이다. 원드라이브는 오피스 문서 저장에 특화돼 있으며 소비자 버전의 드롭박스는 무제한의 파일 수정본을 최대 30일까지 보관하도록 해준다. 기업용 드롭박스(Dropbox for Business)는 고객이 서비스 비용을 지불하는 한 무제한의 버전을 보관한다.
기업용 드롭박스. 파일을 버전별로 저장한다.
클라우드 백업의 타당성은 클라우드 제공자의 인프라, 사용자에 제공되는 대역폭, 복구해야 하는 데이터의 양 등 많은 요소에 따라 크게 좌우된다. 백업 용량이 크고 데이터 전속 속도가 느리면 복구 시간이 길어질 수 있다.
여기에서 개요한 3가지 전략이 완전하지는 않으며, 일부는 특정 산업 또는 IT 인프라에 적합하지 않을 수 있다. 하지만 랜섬웨어가 점차 확산되고 있기 때문에 모든 개인 및 조직들은 조속한 시일 내에 백업 전략을 평가하고 이행해야 한다.
*Paul Mah는 기업 IT 담당자 출신의 테크 블로거다. dl-ciokorea@foundryco.com
