2020년에도 유효한 데이터 백업 개념 ‘3-2-1 원칙’

데이터 저장소의 수는 증가하는데, 3-2-1 규칙의 기본 개념은 종종 잊히곤 한다. 3-2-1 원칙은 쉽게 데이터 보호를 설계하기 위한 가장 근본적인 개념 중 하나이므로 항상 잘 기억해야 한다. 이 원칙이 왜 만들어졌는지, 그리고 실물 테이프 디스크가 사라져가는 현대에 어떻게 해석되고 있는지를 이해하는 것이 중요하다.
 

 

백업을 위한 3-2-1 원칙이란?

3-2-1 원칙은 저장된 데이터의 복사본이나 버전이 적어도 3개 있어야 하며, 그중 2개의 서로 다른 미디어에,1개는 오프사이트에 있어야 한다는 원칙이다. 3가지 요소 각각을 살펴본다.

-    복사본 또는 버전 3개: 다른 시간에 걸쳐 최소 3가지 이상의 다른 버전의 데이터를 보유하면 여러 버전에 영향을 미치는 사고에서 확실히 복구할 수 있다. 백업 시스템이 좋다면 3부 이상의 복사본도 된다.
-    2개의 다른 미디어: 2개의 데이터 복사본을 동일한 미디어에 저장해서는 안 된다. 예를 들어 애플의 타임머신을 생각해 보라. 디스크 유틸리티를 사용하여 하드 드라이브를 2개의 가상 볼륨으로 분할한 다음 타임머신으로 첫 번째 볼륨을 ‘두 번째’ 볼륨으로 백업하는 것은 멍청한 짓이다. 주 드라이브가 실패하면 백업도 실패한다. 이것이 바로 항상 백업을 원본과 다른 미디어에 가지고 있어야 하는 이유다. 
-    오프사이트 백업 1개: 어떤 컨퍼런스에서 한 연사는 서버 위에 있는 상자에 테이프를 담았는데, 서버에 불이 붙자 테이프가 녹아버렸다면서 테이프가 싫다고 말한 적이 있다. 문제는 테이프가 아니었다. 문제는 백업 테이프를 서버 위에 올려놓았다는 것이다. 백업 복사본, 적어도 한 버전 이상의 백업 복사본은 백업 중인 것과 다른 물리적 위치에 저장해야 한다.
 

에어갭 주의 

에어갭이란 백업 중인 데이터와 물리적으로 분리된 네트워크상의 기계에 데이터를 배치하여 데이터의 복사본을 안전하게 하는 방법이다. 그것은 말 그대로 기본과 백업 사이에 에어갭이 있다는 것을 의미한다. 이 에어갭은 단순한 재해 복구 이상의 효과를 내며 또한 보안 공격에서의 보호에도 매우 유용하다.

공격받을 수도 있는 동일한 컴퓨터를 통해 모든 백업에 액세스할 수 있는 경우, 해커가 손상된 서버를 사용하여 백업 서버를 공격할 수 있다. 에어갭을 통해 백업을 기본 백업과 분리하면 해커가 성공하기가 더 어려워진다. 그렇지만 여전히 불가능한 것은 아니며, 단지 더 어려워질 뿐이다.

모든 사람들이 에어갭을 원한다. 요즘 논의되는 것은 테이프를 사용하지 않고 에어갭을 어떻게 얻느냐는 것이다. 테이프 백업 시절에는 에어갭을 제공하기가 쉬웠다. 데이터 백업본을 만들어 상자에 넣은 다음 아이언 마운틴 드라이버에 건네주었으며, 그 즉시 원본과 백업 간에 에어갭이 발생했다. 해커가 원본과 백업 모두를 공격하는 것은 거의 불가능에 가까웠다.

불가능했다고 말하는 것은 아니다. 그래도 더 어려운 것은 사실이었다. 해커가 2차 복사본까지 공격하려면 사회공학을 통한 물리적 공격에 의지해야 했다. 오프사이트 저장소에 있는 테이프가 사회공학을 통한 물리적 공격에 영향을 받지 않을 것이라고 생각할지 모르지만, 그것은 확실히 사실이 아니다. (개인적으로 오프사이트 저장시설의 화이트 해커 공격에 참여해 성공적으로 침투한 다음 다른 사람의 백업을 방치된 채로 둔 경험이 있다.) 대부분의 해커들은 너무 위험하기 때문에 물리적 공격에 의존하지 않는다. 그래서 백업의 에어갭 확보는 데이터 손상 위험을 크게 줄인다. 
 

잘못된 3-2-1 구현

현재 백업 시스템을 통과하는 많은 것이 3-2-1 원칙을 가장 폭넓게 해석해도 통과하지 못하는 경우가 많다. 이에 대한 완벽한 예로는 이 중요한 규칙의 ‘2’와 ‘1’을 무시한 채 보호 중인 동일한 서버 및 동일한 저장 시설에 백업을 저장하는 다양한 클라우드 기반 서비스가 있다.

예를 들어, 퍼블릭 클라우드 공급업체의 고객은 사용 중인 리소스의 스냅샷/이미지를 생성하여 시스템을 백업하는 것이 매우 일반적이다. 이미지는 일반적으로 주 시스템을 실행하는 동일한 계정의 오브젝트 스토리지에 저장된다. 만약 해커가 특별하게 접근하면 데이터의 주 복사본과 모든 보조 복사본을 쉽게 삭제할 수 있다. 3-2-1 규칙은 여전히 클라우드에 적용된다. 복사본을 다른 곳에, 다른 계정으로, 다른 이용가능한 구역에 보관하라. 

3-2-1 원칙도 수백 개의 SaaS서비스를 이용하는 많은 사람들에 의해 무시되고 있다. 예를 들어, 쿠버네티스의 출현과 많은 사람이 자신의 쿠버네티스 구성을 깃허브에 저장하는 현실을 생각해보자. 중요한 백업은 백업 중일 수도 있고 아닐 수도 있는 시스템에 저장된다. 데이터의 주 복사본이 타사 공급업체의 플랫폼에만 저장되는 이메일 공급자 또는 파일 공유 서비스와 같은 다른 서비스를 고려해보자. 이러한 서비스의 많은 백업은 동일한 위치에 있는 데이터의 추가 복사본일 뿐이다. 전체 계정이 해킹을 당한 경우 어떻게 복구할 수 있는지 공급업체에 확실히 문의하자.
 

전자적 에어갭

순수주의자들은 진정한 에어갭이 생길 수 있는 유일한 방법은 테이프와 같은 제거가능한 미디어에 백업을 넣은 다음 물리적으로 주 복사본과 분리하는 것이라고 말할 것이다. 많은 기업이 테이프에서 보호 메커니즘으로 옮겨갔으며 만약 테이프를 매체로 사용할 경우에도 장기 저장에만 쓰고 있다고 인정하는 사람도 있다. 문제는 해커가 전자 해킹을 통해 주 복사본 및 보조 복사본에 접근하지 못하게 막는 방법이다.

현재로서 최선의 해답은 가능한 한 많은 방법으로 이 두 복사본을 분리하는 것이다. 가능한 한 많이 다음 사항을 고려해보라.

-    다른 스토리지 - 주 스토리지에 사용하는 유형과 다른 스토리지 유형을 사용하라. 한 곳에 맞춰진 공격은 아마 다른 곳에는 효과가 없을 것이다.
-    다른 환경 - 랜(LAN)을 통해 직접 연결할 수 없는 백업 시스템을 사용하라. 손상된 사내 서버가 백업을 공격하는 것을 방지하는 또 다른 방법이다.
-    다른 운영체제 – 윈도우 외의 운영체제에서 실행되는 백업 서버 또는 서비스를 사용하면 큰 효과를 얻을 수 있다. 대부분의 랜섬웨어 공격은 윈도우를 노린 것이었다.
-    다른 계정 - 백업 및 재해 복구 시스템에서 가능한 한 완전히 다른 인증 정보를 사용하라. 이렇게 하면 계정이 손상되더라도 인증서가 백업을 공격하는 데 작동하지는 않을 것이다.
-    불변 스토리지 – 일부 클라우드 공급업체는 불변형 스토리지를 제공하며, 여기서 전송된 백업은 특정한 시간까지 변경하거나 삭제할 수 없다. 소유자조차도 삭제할 수 없다.

3-2-1 규칙은 오랫동안 데이터 보호 세계에 충분한 역할을 해 온 좋은 규칙이다. 항상 규칙을 얼마나 잘 준수하고 있는지 스스로 확인해야 한다. 언젠가 3-2-1 원칙으로 곤경을 벗어날 일이 있을 것이다. editor@itworld.co.kr