소리 없이 침투하는 랜섬웨어, 스마트한 솔루션으로 철벽 방어(I)

 

 

국내외를 막론하고 랜섬웨어 공격은 큰 이슈가 되고 있으며, 이로 인해 어려움을 겪는 기업 역시 늘고 있다. 기업들은 다양한 솔루션으로 외부 공격을 차단하려 하지만, 작정하고 공격하는 해커를 막기란 쉽지 않다. 

 

일례로 한 의료기관의 경우 해커에게 돈을 지급하고 암호 해독용 열쇠프로그램을 받아 일부 시스템을 복구했지만, 일부 연구 자료는 폐기할 수밖에 없었다. 랜섬웨어 공격은 당장 돈을 지급하는 것으로 끝나지 않을 수 있다. 랜섬웨어가 단순 암호화 공격을 넘어 정보 유출을 병행하는 지능화된 형태로 진화하고 있고, 주요 서버까지 암호화시키는 등 악질적인 방법으로 반복적인 피해를 입힐 수 있기 때문이다. 

 

지금부터 2회에 걸쳐 날이 갈수록 고도화되는 사이버 위협으로부터 데이터를 보호할 수 있는 HS효성인포메이션시스템의 전략과 솔루션을 소개한다.

 

 

Strategy 01 / WORM 스토리지 vs WORM 파일시스템, 당신의 선택은?

 

랜섬웨어 등 사이버 위협으로부터 데이터를 보호하는 방법 중 대표적인 것은 WORM(Write Once, Read Many)이라고 할 수 있다. WORM은 저장 장치에 데이터를 한 번만 쓸 수 있고, 삭제나 수정을 원천적으로 방지하는 데이터 저장 기술이다. HS효성인포메이션시스템의 대표적인 WORM 스토리지 그리고 WORM 파일시스템 솔루션에 대해 전격 해부해본다.

 

 

디지털 컨텐츠 보호를 위한 대표적인 WORM 스토리지

 

다양한 보안 솔루션은 주로 외부 침입 탐지나 방지, 데이터의 외부 유출 방지 등을 목적으로 한다. 하지만 법적인 증거를 위해 원본이 보존되어야 하는 계약서, 진료 기록 등의 컴플라이언스 데이터나 기업의 핵심 디지털 자산에 대한 삭제, 의도적 변조 등을 막기에는 역부족이다. 일반적인 스토리지는 권한을 가진 사용자나 관리자는 누구나 데이터를 삭제 또는 변조할 수 있기 때문이다. 하지만 WORM 스토리지라면 얘기가 다르다. 

 

디지털 컨텐츠 보호를 위한 WORM 스토리지는 임의 삭제나 수정, 위변조가 불가능하다. 한번 생성된 이후에는 수정이나 변경이 이뤄지지 않는 최종 원본 컨텐츠로 조회만 가능하며, 데이터에 대한 어떠한 유형의 침해 시도에도 원천적으로 데이터를 보호한다.

 

기업의 데이터는 자체적으로 지정한 보관 기간 또는 기업의 수명과 동일한 기간 동안 안전하게 유지되어야 한다. 따라서 WORM 스토리지는 데이터의 안전성을 보장하기 위해 다음의 기능을 갖춰야 한다.

 

WORM 기능	·  데이터 수정 금지 ·  보관기간 내 삭제 금지 ·  데이터의 진본성 확인
부가 기능	·  무결성(데이터 훼손) 확인 및 복구 기능 ·  보관기간 관리 기능
기본적인 보안 관련 기능	·  접근 제어 기능 ·  접근 기록 관리 기능 ·  암호화 기능

 

 

HS효성인포메이션시스템의 대표적인 WORM 스토리지, HCP는 데이터를 안전하게 보관하는 최고의 솔루션이다. 파일에 대한 수정 금지, 보존기간 내 삭제 방지 기능과 진본성 입증 기능을 기반으로 악의적 공격이나 실수로부터 데이터를 보호한다. 

 

HCP는 많은 파일 데이터에 대한 백업 방안이 필요 없다. 파일 손상 시 데이터 보호 정책에 의해 자동으로 복구되며, 실수로 파일 삭제 또는 훼손 시 Versioning 기능을 이용해 이전 버전으로부터 파일을 완벽하게 복구함으로써 기존 백업의 한계를 완전히 뛰어넘는다.

 

또한 HCP는 파일의 무결성을 보장하기 위한 ‘Content Verification Service’ 기능을 제공한다. 이는 파일 저장 시 생성한 Hash Key를 기준으로 파일의 훼손/수정 여부를 확인할 수 있으며, 스케줄링에 의해 계획한 시간에 자동 수행도 가능하다.

 

안전한 데이터 보관 기준을 충족하는 HCP

 

 

재해복구 기능까지 완벽 구현

 

이 외에도 HCP는 재해복구를 위한 원격 복제 구성도 가능하다. 다양한 방식의 복제 토폴리지를 제공하므로, 데이터를 외부 클러스터에 안전하게 복제할 뿐만 아니라 복제 시간 및 속도까지 조절할 수 있다. 

 

이미 HCP는 국내 수백여 개 사이트에서 활발하게 구축 및 운영되고 있으며, 최근에는 랜섬웨어 대응 솔루션으로 각광받고 있다. 주로 공인전자문서보관소의 원본입증용, 전자문서, 로그 보관용, 공공기록물 보존 및 관리 등 원본 보호가 필요한 모든 데이터 보호용으로 진가를 발휘하고 있다.

 

국내 한 의료기관에서 HCP를 랜섬웨어 대응 백업 스토리지로 활용 중인 사례를 소개한다.

 

이 의료기관은 1차 스토리지에서 기본적인 서비스를 수행하고, 오브젝트 스토리지는 1차 스토리지의 백업용으로 활용하고 있다. 만약 백업 서버가 랜섬웨어에 감염될 경우, 백업 데이터 훼손 및 감염된 서버의 카탈로그 정보 훼손으로 백업된 데이터를 읽지 못해 전체 데이터 유실이 발생할 수 있는 상황이었다. 그러나 이 의료기관은 HCP를 도입함으로써 백업 서버가 감염되더라도 2차 백업 스토리지에 보관된 데이터를 이용해 백업 서버 및 백업된 데이터를 복구할 수 있게 되었다. 

 

HCP를 데이터 보호 솔루션으로 선택할 때는 도입 목표가 ‘백업 시스템 구축’인지 ‘데이터 보호’인지를 반드시 고려해야 한다. HCP는 WORM 기능을 통해 랜섬웨어 감염을 원천적으로 차단하며, 즉시 또는 주기별 백업을 지원함으로써 데이터를 완벽하게 보호할 수 있다. 

 

 

외부 공격에도 안전한 NAS 스토리지

 

HCP가 대표적인 WORM 스토리지라면, VSP One File은 내장된 WORM 파일시스템을 기반으로 랜섬웨어에 선제적으로 대응한다.

 

랜섬웨어 감염의 위협을 원천 차단하는 VSP One File만의 방법은 크게 두 가지가 있다.

 

먼저, 임의 삭제나 수정, 위·변조가 불가능한 WORM 파일시스템을 이용해 데이터를 보호하는 것이다. 

 

기존의 보안 예방 프로세스는 신종 바이러스 또는 랜섬웨어가 침투했을 때, 검출 패턴이 없다면 감지하지 못한다. IPS(침입방지)나 방화벽, 통합보안관제시스템 등이 1차적으로 동작하지만, 랜섬웨어는 어떻게 침투할지 아무도 모른다. 따라서 이메일 첨부 파일 등으로 방화벽이 뚫리는 순간, 데이터 저장소가 마지막 보루가 되는데, 스토리지에서 제대로 대응하지 못하면 피해 규모는 상상을 뛰어넘는다. 즉, 기존 보안 예방 프로세스는 네트워크 백신 관점의 기능이 더 크다고 할 수 있으며, 랜섬웨어에 감염되면 큰 역할을 하지 못하는 것이 현실이다.

 

그러나 VSP One File의 WORM 파일시스템은 저장된 데이터를 사용자가 설정한 기간 동안 변경할 수 없게 함으로써 삭제, 수정 및 위·변조를 원천적으로 차단한다.

 

 

변경불가 스냅샷으로 복원력 강화

 

VSP One File만의 두 번째 방법은 변경불가 스냅샷 기능이다. VSP One File에 새롭게 추가된 변경불가 스냅샷 기능은 오류나 악성, 랜섬웨어 등의 공격으로 인한 스냅샷의 수정 및 삭제를 방지한다. 

 

변경불가 스냅샷을 활용할 경우, 관리자는 보존 기간을 포함한 자동 스냅샷의 스케줄 정책을 설정할 수 있다. 특히 파일시스템 단위, 스냅샷 룰 단위, 개별 스냅샷 단위까지 설정이 가능하다. 다만, 오브젝트 복제 스냅샷은 적용이 제외된다. 따라서 이 기간이 만료될 때까지 스냅샷은 자동 및 수동 삭제가 완전 불가능하고, 프로덕션 파일시스템의 복제본으로부터 빠른 복구가 가능하다. 

 

이러한 기능을 기반으로 VSP One File은 원본이 절대로 삭제되지 않아야 하는 의료기관의 환자 영상 자료, 금융권 계약서 및 CCTV 영상 파일, 범죄 증거자료 등의 저장소 목적으로 다양한 산업분야에서 폭넓게 활용되고 있다. 

 

물론 HS효성인포메이션시스템 외에도 NAS 스토리지 기반의 랜섬웨어 탐지 기능 등 다른 방식의 랜섬웨어 대응 솔루션을 제공하는 벤더도 있다. 다만, 방화벽이나 IPS 등 보안 솔루션 레벨이 아닌 스토리지 레벨에서 랜섬웨어를 탐지한 상태라면, 이미 고객의 NAS 스토리지 자체가 감염되었을 확률이 매우 높기 때문에 되돌릴 수 없는, 복구 불가능한 상태일 가능성이 높다. 즉, 탐지보다는 원천적으로 데이의 변경을 차단하는 기능이 고객의 데이터를 완벽하게 보호할 수 있는 대응방안이며, 하드웨어 가속 FPGA 기반으로 더욱 빠르고 신속한 ‘변경불가 스냅샷’을 제공하는 스토리지는 HS효성인포메이션시스템의 VSP One File이 유일하다고 할 수 있겠다.

 

 

VSP One File의 차별화 포인트