Offcanvas

CSO / 랜섬웨어 / 서버

칼럼 | 랜섬웨어 최후의 방어선 '백업 서버'가 위험하다

2022.12.15 W. Curtis Preston  |  Network World
백업·복구 시스템이 암호화와 데이터 유출이라는 2가지 형태의 랜섬웨어 공격 위협 아래에 놓여 있다. 대부분 온레미스 백업 서버가 이 2가지 공격에 무방비 상태인 가운데, 일부 랜섬웨어 공격 그룹은 이들 백업 시스템을 최우선으로 노리고 있어 각별한 주의가 요구된다. 
 
ⓒ Getty images Bank

해커들은 백업 서버의 보안이 느슨하고, 정보 보안에 정통하지 않은 비전문가가 관리하고 있다고 여긴다. 실제로 이들 서버를 백업 전문가에 맡기는 것에 대해 기업 내에서 아무도 관심이 없는 것으로 보인다. 대부분 서버를 보호하는 제대로 된 프로세스에서 백업 시스템이 누락되는 고질적인 문제도 이 때문이다. 

이런 문제를 해결하려면 정 반대로 가야 한다. 백업 서버를 데이터 센터에서 가장 빨리 업데이트 하고 보안을 철저하게 적용하는 것이다. 또한 관리자나 로그인 경로를 까다롭게 만들고 원격 로그인 시 까다롭고 혹독한 절차를 거치게 한다.  

백업 서버의 중요한 역할은 대가를 지불하지 않고도 랜섬웨어 공격에서 복구할 수 있다는 것이다. 백업 서버에 저장된 데이터를 이용해 랜섬웨어로 암호화된 기기를 원상복구할 수 있다. 그래서 랜섬웨어 그룹 역시 백업까지 암호화하려 시도한다. 최악의 랜섬웨어 이야기가 “백업까지 암호화됐습니다”로 끝나는 이유다. 결국 백업은 랜섬웨어에 대한 최후의 방어선이고 반드시 지켜내야 하는 영역이다. 

백업 서버에 대한 암호화 공격이 오래된 랜섬웨어 공격 방식이라면, 데이터 유출은 랜섬웨어 공격자가 백업 서버를 노리는 가장 중요한 동기로 빠르게 부상하고 있다. 이들 공격자는 백업 서버에서 데이터를 빼내 암호화한 후 “돈을 주지 않으면 회사 가장 중요한 혹은 절대 알리고 싶지 않은 비밀을 퍼뜨리겠다”고 협박한다. 기업을 저항할 수 없는 상황으로 몰아 넣는 것이다. 랜섬웨어 공격자는 자신이 가진 정보를 기업이 확인할 수 있도록 웹페이지까지 보내 주는데, 이쯤되면 기업은 해커들이 약속을 지키기를 바라며 돈을 지급하는 수밖에 없다. 

이런 전략은 랜섬웨어 집단에게 당연하다. 민감한 데이터가 있을지 없을지 모르는 서버 여러 대를 공격하는 것보다 기업의 민감한 데이터 전체를 보유한 서버 하나를 따라가는 것이 훨씬 더 수월하기 때문이다.

실제로 해커가 데이터에 악성코드 한 조각을 심으면, 이 악성코드는 명령, 제어 서버에 접속해 어떤 백업 시스템을 사용하는지 파악한다. 이 작업이 끝나면 곧바로 해당 시스템에 대한 공격을 시작한다. 

랜섬 공격 집단이 NFS나 SMB를 통해 네트워크에 있는 백업 데이터에 직접 접근하고 특히 이 데이터가 암호화되지 않았다면 이 시점에서 상황은 사실상 끝난 것이 다름없다. 반면 해커가 백업 데이터에 직접 접근할 수 없는 경우에는, 해커는 보안 취약점이나 유출된 신원 정보를 이용해 관리자/루트 권한을 얻는 방식으로 백업 서버의 운영체제를 직접 노린다. 이를 통해 해커가 기본 암호화에 사용되는 머신 키를 확보하면 ‘백업 왕국’을 여는 열쇠를 거머쥐게 된다. 해커와 기업 간의 전쟁도 여기서 끝이 난다. 

이 같은 시나리오를 막는 방법은 랜섬웨어 공격자가 백업 서버를 손상시키는 것을 막는 것이다. 방법은 다음과 같다. 
 
  • OS와 애플리케이션 패치를 최신 버전으로 유지 
  • 백업 소프트웨어로 필수 포트를 제외한 모든 인바운드 포트를 차단 
  • 개별 VPN으로 필수 관리 포트(SSH, RDP) 활성화 
  • 명령·제어 서버에 접속해 로컬 호스트 파일 맬웨어 감염 방지 
  • 백업 및 애플리케이션 서버용 별도의 패스워드 관리 시스템 유지보수(예: LDAP) 
  • 다중 요소 인증 사용 강화 
  • 루트/관리자 사용 제한, 사용시 경보 울리도록 설정 
  • 자체 백업 서버 관리 대안으로 SaaS 백업 사용 
  • 가능한 ‘최소한의 권한’ 원칙 유지. 개별 사용자에 업무 처리에 필요한 최소한의 권한만 부여 

백업 데이터 자체를 착취 또는 암호화에서 보호하려면 다음과 같은 백업 시스템을 구성하면 된다. 
 
  • 저장된 위치에 상관없이 모든 백업 데이터 암호화 
  • 서드파티를 통한 암호화 키 관리 
  • DAS나 NAS를 통해 파일로 백업 저장 금지. 솔루션 업체에 보안 방식에 대해 문의하기. 
  • 백업 서버보다는 별개의 운영 시스템에 백업 사항 저장 
  • 리눅스처럼 변경이 불가능한 기능을 병용해 온프레미스 저장소 사용 
  • 테이프/RDX 사본을 생성해 외부에 전송 
  • 변경 불가능한 클라우드 스토리지에 사본 생성 

물론 처한 환경에 따라 필요한 작업이 더 있을 수는 있겠지만, 백업 서버에 내재한 위험 요소가 얼마나 많은지 인지하고 있다면 실행할 가치가 있을 것이다.  
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.