본문 바로가기

TECH ZOOM

랜섬웨어에 더 강하다, 데이터 보호를 위한 철벽 방어선 'HCP'


‘랜섬웨어 감염 속수무책’,‘ 랜섬웨어 복구? 백업만이 살길이다’ 최근 악성코드로 알려진 랜섬웨어에 대한 우려의 목소리가 커지고 있다. 문제는 랜섬웨어를 100% 차단할 수 있는 방법이 없다는 것이다. 암호화 알고리즘을 간단하게 손보면 수많은 변종을 만들 수 있기 때문. 특히 감염 시 피해가 당사자 개인에 국한되지 않고 네트워크를 통해 기업 전체로 확산되기 쉬우며 중요한 시스템의 데이터에 영향을 미치는 사례가 많아지고 있어 문제 해결이 쉽지 않다. IT 업계의 골칫거리인 랜섬웨어와 이에 대응할 수 있는 솔루션인 HCP(Hitachi Content Platform)에 대해 알아보자.


   
Q

랜섬웨어를 ‘데이터 인질 악성코드’라고 하는데 그 이유는 무엇인가.


A

랜섬웨어(Ransom Ware)라는 용어 자체가 Ransom(몸값)과 Ware(제품)의 합성어다. 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 이렇게 붙여졌다. 타깃 사용자의 데이터를 암호화한 후 암호 키를 받으려면 돈을 지불하라고 협박한다. 랜섬웨어 공격자는 초기 일반인을 상대로 범죄를 저질렀지만 보다 큰 돈을 벌기 위해 요즘에는 기업이나 단체를 대상으로 한 공격에 혈안이 되어 있다. 랜섬웨어를 사업화해 랜섬웨어 제작툴 킷과 인프라를 판매해 수입을 나누는 조직들도 생겨나고 있다. 기업으로선 위험천만한 일이다.


   
Q

어떻게 전파되는가.


A

개인이 이메일, 감염된 파일을 클릭하거나, 특정 사이트에 접속 후 사이트에 숨어 있는 스크립트나 플래시, ActiveX 등이 브라우저 상에서 실행됨으로써 감염된다.

1차적인 피해는 랜섬웨어에 감염된 개인이 받게 된다. 개인 PC 내의 모든 파일이 암호화 되어 KEY 없이는 열 수 없는 상태가 된다. ECM[각주:1]이나 파일공유 서버에 올라가 있지 않고 개인 PC에만 존재하는 중요한 문서가 있었다면 피해는 이 정도에서 끝날 수도 있다.


그러나 최근에는 업무 환경이 네트워크 기반에서 이루어 지고 있으며 회사의 자산인 파일들을 관리하기 위해 개인 PC가 독립적으로 구성되는 경우는 많지 않고 데스크톱 가상화, ECM, 파일 공유 서버 등을 구성해 네트워크 드라이브 등을 할당 받아 사용하는 경우가 대부분이다. 이 경우 사내의 누군가가 랜섬웨어 피해자가 되면 네트워크에 연결된 공유 폴더가 통째로 감염되며 피해는 걷잡을 수 없게 확산된다. 또한 랜섬웨어의 감염 상태나 종류에 따라 공유 서버에 접속한 다른 사용자가 감염된 파일을 클릭하게 되면서 추가 감염되기도 한다.


   
Q

기업에서 치료나 복구가 어려운 이유는.


A

최초의 랜섬웨어는 단순 암호화 방식뿐이었으나 최근 정보 탈취 기능이 추가되어 피해가 커지고 있다. 또한 클릭 시 바로 동작하지 않고 APT[각주:2] 방식으로 숨어 있다가 특정 시점에 동작해 피해를 크게 확산시키기도 한다. 문제는 랜섬웨어의 변형에 완전히 대처할 방안이 없다는 점이다. 이는 랜섬웨어가 마치 보안 애플리케이션인 것처럼 암호화나 접근방지 등의 기능을 철저하게 활용하기 때문이다. 때문에 랜섬웨어 감염 시 배포자가 제공하는 KEY 없이는 파일을 복구할 방법이 거의 없다. 특히 알려지지 않은 알고리즘을 사용하는 경우 대안이 없다고 해도 과언이 아니다. 전문가들은 차단과 예방이 중요하지만 완벽하게 막는 것은 불가능하므로 감염 이 후 대책 방안에 대해서도 충분히 대비해야 한다는 입장이다.



   
Q

랜섬웨어의 위협으로부터 기업의 데이터를 완벽하게 보호할 수 있는 솔루션이 있나.


A

랜섬웨어는 다양한 버전과 변종이 존재하므로 모든 종류의 랜섬웨어에 대한 대비책으로 기존의 백신이나 방화벽 등의 알려진 방식으로 대응하는 것은 현실적으로 불가능하다. 이에 많은 전문가들은 백업만이 유일한 대비책이라고 얘기하고 있다. 그러나 현실적으로 이슈가 발생한 바로 그 시점으로 완벽히 복구하기가 어렵다.

때문에 데이터 보호를 구현하기 위해 기존의 방식과는 다른 차원의 접근 방식이 필요하다. 이를 위해 두 가지 질문을 던져볼 수 있다. 첫 번째는 정말로 (백신 프로그램 없이) 데이터를 감염시키는 것을 원천적으로 차단하는 방법은 없을까? 두 번째는 문제가 발생할 경우 가장 최신의 상태로 되돌릴 수 있는 방법은 없을까? 이 두 가지를 충족시킬 수 있는 솔루션이 바로 HCP다.

랜섬웨어 대응 방안





   
Q

HCP의 어떤 기능이 랜섬웨어에 효과적이라는 얘기인가. 좀더 자세히 설명해 달라.


A

HCP는 파일 변조를 원천적으로 차단하기 위해 파일의 수정과 변경, 그리고 삭제를 방지하는 매커니즘을 적용, 채택하고 있다. HCP는 중요한 데이터의 경우 훼손/손상 자체를 방지하기 위해 파일의 수정을 막는 기능이 기본적으로 제공된다. 또한 중요한 데이터는 보존주기 설정 또는 삭제 방지 설정 등을 통해 정해진 기간이나 관리자 확인 없이는 삭제가 되지 않게 하는 기능을 제공하고 있다.

파일 변조(수정/변경/삭제) 원천 차단




또한 문서 수정, 협업 등을 위해 파일 수정을 허용하는 정책을 적용하여 사용하는 경우에도 개별파일 복구를 위한 버저닝(Versioning)을 제공하므로 변경되기 이전의 정상적인 파일로 되돌릴 수 있다.



이전 버전으로 복구




개인 PC의 데이터도 HCP Anywhere를 통해 HCP에 통합해 관리할 수 있다. HCP Anywhere는 HCP 위에 탑재되는 솔루션으로 개인 PC 데이터를 안전하게 사용하고 협업하기 위한 폴더 동기화 및 공유 기능을 제공한다. 네트워크 드라이브 방식이 아니므로 개인의 감염이 네트워크를 통해 확산되지 않는다. 모바일을 사용하는 직원들 역시 보안 걱정 없이도 PC, 태블릿, 스마트폰 등 인터넷 접속이 가능한 모든 종류의 디바이스에서 작업 콘텐츠를 사용할 수 있으며 바이러스나 랜섬웨어 등의 감염 발생 시 해당 파일을 확인하고 감염 이전 버전으로 되돌릴 수 있다. 특히 개인 PC의 데이터들을 클라우드로 백업할 수 있는 기능을 제공하므로, 사용자들이 개인 PC에 보관하는 데이터를 안전하게 보호할 수 있다.


   
Q

랜섬웨어는 기업 내 데이터 파일을 불법적으로 암호화한다.
이에 대해 HCP는 어떤 방식으로 대응하는지 좀 더 기술적으로 설명해줄 수 있나.


A

랜섬웨어에 감염되면 감염된 PC 또는 서버 내의 파일들을 암호화한다. 감염된 파일은 통상 특정 확장자로 변경되어 감염되었음을 알리고, readme.txt 등의 파일을 생성하여 랜섬웨어에 감염되었으니 파일을 복구 하려면 돈을 지불하라는 메시지를 남긴다. 어떤 경우에는 감염 속도를 높이기 위해 파일들을 암호화 하기 이전에 먼저 특정 확장자를 가진 이름으로 변경하고 이어서 해당 파일들을 암호화 하는 방식으로 진행되는 경우도 있다. 한번 암호화된 파일은 랜섬웨어 배포자가 제공하는 KEY가 없는 경우 이를 열 수 없는 상태가 되므로 사용이 불가능하다. 이는 파일의 이름을 바꾸거나 암호화해도 저장되지 않으면 랜섬웨어 감염을 원천적으로 막을 수 있다는 의미이다.

HCP는 바로 이러한 기능을 제공하고 있다. HCP는 데이터 보호를 위해 저장된 파일의 변경을 허용하지 않는다. 즉 데이터의‘ WORM(Write Once, Read Many)’ 상태를 유지하기 위한 정책을 기본 적용하고 파일을 저장하게 되면 파일의 디지털 지문(HASH KEY)을 같이 보관하여 원본성을 입증 하고 있다. 파일 수정이 필요할 때는 원본을 수정하는 것이 아니라 새로운 다른 파일을 생성하는 방식만을 허용한다.

HCP는 사용자에게 컴플라이언스와 엔터프라이즈의 두 가지 모드를 제공하여 데이터를 보호하고 있다. 컴플라이언스 모드에서는 파일 이름 변경이나 동일 이름으로의 재저장 등의 기능을 금지하며 절대로 수정이 불가능하다. 따라서 불법 위변조가 원천적으로 차단된다. 엔터프라이즈 모드에서는 동일한 이름으로 파일 생성이나 이름 변경은 가능하나 내부적으로는 파일을 바꾸지 않고 버저닝하여 이전 버전의 파일들을 보관하게 된다. 만일 파일이 위변조되거나 삭제되었다면 이 버전 이력 기능을 이용하여 파일의 과거 버전으로 손쉽게 복구할 수 있게 되는 것이다. 확장자가 바뀐 파일이 암호화되지 않고 파일명만 변경된 상태라면 이것도 HASH KEY로 확인하여 이름을 바꾸는 것만으로 바로 복구할 수 있다.


   
Q

외부에서 본사 주요 데이터에 접속하려는 모바일 사용자들도 안심할 수 있나.


A

HCP는 파일 동기화와 공유 기능을 위해 모바일 사용자들이 쓰는 HCP Anywhere의 핵심 저장소의 역할을 한다. HCP Anywhere를 통해 데이터는 방화벽 뒤에서 안전하게 보호된다. 물론 이때도 모바일 기기와 브라우저에서 승인받은 사용자는 데이터에 액세스할 수 있다. 기기 분실 또는 오류가 발생하더라도 해당 사용자가 자신의 파일을 모든 종류의 웹브라우저에서 이용할 수 있으며, 새로 구입한 기기에서도 간단히 복구될 수 있다.


   
Q

랜섬웨어 등 외부의 위협으로부터 데이터를 보호하고 있는 국내 HCP 운영 사례를 소개해달라.


A

국민은행은 HCP를 기반으로 고의 혹은 실수로 시스템의 운영 데이터가 삭제되거나 훼손되더라도 완벽하게 시스템을 복구할 수 있는 체계를 구축했다.

PPR(페이퍼리스 프로세스 재설계) 시스템에도 HCP를 도입, 전자문서의 훼손 가능성으로부터 안전하게 데이터를 보호하고 있으며, DB 손상 등에 의한 RTO를 보장하기 위해 HCP 기반 백업 시스템을 구축, 운영 중이다. 예를들어, DB 백업 과정에서 데이터 복구에 필요한 DB 아카이브로그가 삭제되면 DB 복구가 불가능하게 된다. 국민은행은 HCP의 DB 아카이브로그 삭제 기능을 활용해 완벽한 RTO를 보장하는 백업 시스템을 구축할 수 있었다.

HCP 활용 분야



  1. 1) ECM(Enterprise Contents Management) : 비즈니스를 위해 필요한 모든 콘텐츠의 생성과 검토, 승인, 배포, 재활용, 관리, 활용 평가 등을 통합 관리하는 솔루션 [본문으로]
  2. 2) APT(Advanced Persistent Threat) : 기업 관계자 PC에 스파이처럼 몰래 접근한 뒤 은밀히 활동하면서 회사 내 보안 서비스를 무력화시키고 정보를 유출해 달아나는‘ 숨바꼭질형 악성코드’ [본문으로]