“언제나 즉시 복구 가능한 백업 환경” 델 파워프로텍트 사이버 리커버리 [리뷰]
오늘날 기업의 IT 인프라에 있어 가장 두려운 위협으로는 데이터와 서비스를 모두 망가뜨리는 '랜섬웨어(Ransomware)'가 꼽힌다. 이미 국내외에서 많은 피해 사례가 발생했으며 공개되지 않은 사례는 더 많을 것으로 보인다. 전문가들에 따르면 랜섬웨어에 감염돼 큰 피해를 입은 사례 가운데 상당수는 제대로 된 백업 데이터가 없어 복구하지 못했고, 결국 해커에게 거액을 지불해 복호화 키를 받았다. 만약 신뢰할 수 있는 백업 체계가 잘 준비돼 있었다면 해커에 돈을 지불할 필요도 없고, 서비스도 수 시간에서 수 일 내에 복구할 수 있었을 것이다.
이제는 보안의 영역이 위협 침투를 막는 수준을 넘어, 실제 공격을 당했을 때 얼마나 빠르게 복구할 수 있는지에 대한 '복원력'까지 확장됐다. 빠른 복원을 위해서는 피해가 확산되기 전에 신속히 위협 침투를 감지할 수 있는 방법과 함께 신뢰할 수 있는 백업 데이터와 복구 체계, 사고 대응 계획이 필요하다. 특히, 이제는 단순 백업이나 DR(재해복구: Disaster Recovery)만으로는 치명적인 랜섬웨어 공격에 신속하게 대응하기 어렵다는 것이 중론이다.
고도화된 랜섬웨어 공격 대비, 백업과 DR만으로는 부족해
예전에는 '백업'이 IT 운영 수준의 기술이었지만 이제는 '보안' 영역으로 다뤄지는 존재가 됐다. 예전에는 복구가 IT 운영 중 장비의 고장 등 장애 상황에 대비하는 것이었다면 이제는 다양한 공격 위협에 대비하는 회복탄력성의 핵심이 됐기 때문이다. 이러한 변화의 계기로는 '랜섬웨어'가 꼽힌다. IT 환경 전반의 데이터가 알 수 없는 방식으로 암호화되고 비용을 지불해도 복구의 가능성을 확신할 수 없다면, 결국 복구 방안은 잘 백업된 데이터 뿐이다.
최근 랜섬웨어들의 행동 패턴은 상황을 더 복잡하게 만들고 있다. 이제 랜섬웨어는 단순히 들어오자마자 프로덕션 환경의 데이터를 암호화하는 식으로 움직이지 않는다. 마치 공급망의 표적 공격처럼 들어온 뒤 인프라의 구성을 파악하고, 백업 데이터부터 모두 파괴한 다음 마지막에 프로덕션 환경의 데이터를 파괴한다. 실제 피해가 가시화되기 전까지 멀웨어의 탐지 비율은 20% 수준에 그치는 것으로 알려졌다. 백업만 믿고 있던 사용자의 입장에서는 이미 되돌릴 길이 없어진 셈이고, 모든 데이터를 잃느냐 돈을 지불하느냐의 선택만 남게 된다.
현실적으로 이러한 고도화된 공격을 100% 막을 수 있는 방법은 없다. 이에 업계에서는 사이버 공격에 대해 '공격 당할 수 있다'는 가정에서부터 시작해야 한다고 조언한다. '공격 당할 수 있다'고 관점을 바꾸면, 대응책은 방어보다 '빠른 복구'가 된다. 이러한 개념이 최근 이야기되는 '회복탄력성'이다.
이제 거의 모든 조직들이 백업은 충실히 하고 있고, DR(재해복구: Disaster Recovery)을 대비하는 경우도 늘어나고 있다. 하지만 최근의 고도화된 공격에 대응하기 위해서는 백업과 DR만으로도 부족한 상황이 됐다. 백업은 프로덕션 환경 안에서 모든 데이터의 복제본을 만들고, 필요한 시점으로 돌릴 수 있다. 하지만 이미 백업 환경도 공격 대상이 된 상태고, 공격 시점을 특정할 수 없다면 백업된 데이터도 안전하다고 장담할 수 없을 상황이다.
DR은 백업과는 다른 역할로, 복구보다는 서비스 연속성을 위한 기술이다. 프로덕션 환경이 운영을 멈추는 경우 DR로 전환돼 서비스를 연속적으로 이어갈 수 있게 하는 것이 DR의 목적이다. 이에 DR은 프로덕션 환경과 실시간 동기화된 단일 시점으로 운영되며, DR의 데이터를 사용하면 복구도 즉각적으로 된다. 하지만 양 쪽이 동기화되는 특성상 대응 시점을 놓치면 DR까지 영향을 받을 수 있다. 그리고 실제 사례들에서는 프로덕션에서 DR로 운영을 넘기는 작업이 매끄럽게 진행된 사례도 많지 않은 것이 현실이다.
이러한 상황을 보완할 수 있는 개념으로는 '볼트(Vault)'가 있다. 볼트는 프로덕션 환경과 물리적으로 격리된 환경에 운영 환경의 데이터 중 필수 업무 중심의 일부 데이터만 보관해 빠른 복구를 가능하게 하는 환경이다. 프로덕션 환경과 연결돼 있지 않아 랜섬웨어의 공격 대상에서도 제외되고, 백업된 데이터는 상세 분석돼 안전을 보장할 수 있다. 보통 볼트 환경에서는 데이터를 1주일 정도만 보존하는데, 이는 일반적인 랜섬웨어들이 1주 이내에 비용을 받고자 하는 패턴을 고려한 부분이다.
이제 백업 환경에서 데이터에 대한 다단계 인증(MFA: Multi-Factor Authentication)은 이제 기본이 됐다. 또한 운영 서버의 백업 단계에서 파워프로텍트 데이터 매니저(PowerProtect Data Manager)가 머신러닝 기반 패턴 분석으로 이상을 탐지, 위협이 확대되기 전에 대응할 수 있게 알려 준다. 또한 설정한 보존 기간 내에는 누구도 데이터를 변경하거나 지울 수 없는 '불변성 백업(Immutable Backup)'이 결합되면 공격이 들어왔을 때도 백업 데이터를 보호할 수 있다.
운영 환경과 완전히 격리된 '볼트' 환경 구현은 이보다 좀 더 적극적인 전략이다. 볼트 환경은 운영 환경의 백업을 동기화하지만 데이터 백업 작업 시기 이외에는 네트워크 연결을 끊어 백업 환경에 대한 네트워크 위협 가능성을 없앤다. 그리고 격리된 환경 안에서 백업된 데이터가 안전한지 분석, 검증하고, 불변성 백업을 확보하고 백업 서버 손상에 대한 복구 수단까지 갖추면 백업 서버까지 손상된 상황에서도 핵심 업무 환경과 데이터를 복구할 수 있는 방안을 확보할 수 있다.
백업은 기본, 위협 탐지에서 대응까지 전체 대응하는 '파워프로텍트 사이버 리커버리'
운영 환경과는 격리된 위치에 구성되는 델의 '파워프로텍트 사이버 리커버리' 솔루션은 프로덕션 환경과 같은 '파워프로텍트 데이터 도메인(PowerProtect Data Domain)' 어플라이언스를 중심으로 관리를 위한 '사이버 리커버리(Cyper Recovery)', 데이터를 분석하는 '사이버센스(CyberSense)'가 연결된 형태다. 운영환경의 '파워프로텍트 데이터 도메인'에 백업된 데이터는 볼트 영역의 파워프로텍트 데이터 도메인으로 전달된 뒤 네트워크 연결을 끊어 '에어갭' 상태로 보호한다. 이후 내부에서 이 데이터를 기반으로 보호, 분석 활동을 진행한다.
사회적인 영향이 큰 기업의 핵심 업무 환경이라면 주 운영 환경과 DR 환경, '볼트' 환경까지 모두 물리적으로도 분산돼 있는 것이 이상적이다. 하지만 현실적으로는 주 운영 환경과 DR 환경은 분리되어 있더라도, '볼트' 환경은 물리적으로 기존 시설 내부에 위치할 수도 있다. 특히 주 운영 환경 내부에 에어갭 격리된 볼트 구역을 구성하는 것은 백업 성능과 네트워크 비용 측면에서 유리함을 기대할 수 있다. 델 또한 이런 환경의 고속 복구를 위해, 파워프로텍트 데이터 도메인 제품에 올플래시 구성을 사용한 'DD9910F' 모델을 추가했다.
델의 '파워프로텍트 사이버 리커버리' 에서는 운영 환경에서 받은 백업을 볼트 구역으로 옮기면서 복제와 스냅샷, 변경 불가능한 백업과 분석에 이르는 다양한 운영 정책을 설정할 수 있다. 복제와 스냅샷 복제본, 변경 불가능한 백업과 분석까지의 각 단계는 바로 보낼 수도 있지만 사용자가 직접 각 단계별로 진행할 수도 있다.
매일 백업이 진행되는 상황에서 어느 날 운영 환경에서 눈치채지 못한 위협 징후가 포함된 데이터가 볼트 존으로 들어오는 경우가 있을 수 있다. 이런 경우, 보통은 발견이 늦으면 백업 데이터 보존 기간 정책에 따라서는 모든 백업된 데이터가 감염된, 사용할 수 없는 상황이 될 수도 있다. 하지만 델의 사이버 리커버리는 사이버센스를 통해 백업된 데이터를 분석해 위협이 감지되는 경우 경고해 주는 기능을 갖추고 있다.
사이버센스를 통한 백업 데이터 분석 기능은 사이버 리커버리의 정책 메뉴에서 특정 정책이나 데이터 복제 시점에 대해 적용할 수 있다. 이 때 데이터는 샌드박스로 구성해서 메타데이터뿐만이 아닌 데이터의 전체 콘텐츠를 분석하는 만큼 보다 정밀한 분석이 가능하다. 델은 실제 환경에서 분석 성능을 높일 수 있는 방법으로, 사이버센스 서버를 여러 대 사용하는 방법도 제시한다.
델 사이버 리커버리 솔루션에서는 이미 랜섬웨어 등에 감염된 것을 확인한 시점이 운영 환경의 백업 서버와 스토리지까지 손상돼 일반적인 방법으로는 복구가 불가능한 상황이라도 볼트 환경에 남은 정상 데이터로 볼트 환경 내에서 백업 서버의 복원을 간편히 시도할 수 있다. 이러한 과정 전반이 몇 번의 클릭으로 가능하도록 단순화해 복구 시간을 최소화한 점이 돋보인다.
델은 사이버센스가 200개 이상의 콘텐츠 기반 분석 지표를 활용해 다양한 랜섬웨어로 인한 데이터 손상을 감지하고, 7500개 이상의 랜섬웨어 변종 데이터셋으로 학습된 머신러닝 모델을 통해 99.99% 수준의 탐지 정확도를 제공한다고 소개한다. 새로운 패턴을 위한 분기별, 수시 업데이트도 제공되고, YARA 룰셋을 적용해 감지할 수 있는 방법도 제공된다. 물론 외부망이 차단된 볼트 구역에서 사용되는 만큼 업데이트를 수동으로 유지해줄 필요는 있다.
델의 사이버 리커버리 솔루션에서는 볼트 영역에서 준비된 백업 데이터가 안전한지와 함께, 특정 백업 시점이 실제 복구 가능한지 검증하는 기능도 있다. 솔루션 내에 마련된 테스트를 통해 실제 검증이 되면 '복구 가능' 표시를 해 사용자가 필요시 쉽게 선택할 수 있게 돕는다. 평상시에 볼트 영역과 진단 기술을 갖추고 있다면 문제 발생 이전부터 빠른 복구를 위한 준비를 진행해, 실제 위기 상황에서 복구까지의 과정을 크게 줄일 수 있을 기술이다.
전체 데이터 분석의 경우 백업 이후의 과정. 이를 좀 더 먼저 확인하고 진행할 수 있는 방법이 백업 당시 이상 패턴을 탐지하는 기능을 활용하는 것이다. 델은 이러한 백업시 이상 탐지 기능을 파워프로텍트 데이터 도메인 장비의 파워프로텍트 데이터 매니저 차원에 탑재하고 있다. 이 기능은 정상적인 파일을 백업받고 있는 상태에서 랜섬웨어 등에 감염된 데이터가 들어오게 되면 백업 서버 차원에서 이상을 감지한다.
이제 백업은 단순히 인프라의 장애에 대비한 데이터 복제본을 확보하는 의미 이상이 됐다. 위협을 빠르게 탐지하는 체계와 신뢰할 수 있는 '복구 가능한' 백업 데이터, 언제든 신속하게 복원할 수 있는 신뢰성을 갖춘 환경을 모두 갖추는 것은 이제 비즈니스 회복탄력성을 확보하는 필수적인 '보안'의 영역으로 다뤄야 한다. 델 또한 이러한 흐름에 맞춰 백업 관련 솔루션의 기능을 확장하며 보안과 복원력에 대한 시장의 기대에 부응해 왔다.
델의 '파워프로텍트 사이버 리커버리' 솔루션은 오늘날 기업에 필요한 복원력을 보장하기 위한 핵심 역량을 모두 모았다. 운영 환경과 격리된 영역에 백업 데이터를 불변성 데이터 형태로 보관하고, 데이터를 분석해 무결성까지 확인하는 구성은 백업 데이터의 신뢰성은 물론 운영 시스템의 이상 탐지까지 가능하게 한다. 여기에 백업 데이터의 복구 가능성을 지속적으로 검증해, 언제든 복구가 가능한 환경을 보증하는 점도 인상적이다.
이 '파워프로텍트 사이버 리커버리' 솔루션의 가치를 완성하는 것은 고객과 델이 함께 하는 정책 구성이 될 것이다. 이 솔루션의 기술적 강점을 제대로 활용하려면 그 근간에 IT 환경 전반에 걸친 확실한 접근 제어 정책과 정교한 백업 데이터 보존 정책 수립도 필요하다. 이러한 환경을 만들어 가는 과정에서 델이 축적해 온 신뢰성과 경험 측면은 솔루션 선택의 중요한 차별점이 될 것으로 기대한다.
권용만 기자
yongman.kwon@chosunbiz.com
Copyright © IT조선. 무단전재 및 재배포 금지.
- 데이터 노리는 숨은 공격자 ‘악성코드’… 바이러스에서 랜섬웨어까지 [보안TMI]
- “AI 공격은 ‘기계의 속도’… 보안도 AI 기반 자동화로 대응해야” [AI 2026]
- 2026년에도 랜섬웨어 기승…1월 전세계 678건, 전년비 10%↑
- AI 공격 경계 필요… 2025년 사이버침해사고 26% 늘어
- “사이버 공격, 기업은 복구할 준비가 됐나”
- 델, 부스트런과 2조원대 AI 인프라 계약… 기업 투자 확산 신호
- 델, 업데이트된 ‘AI 팩토리’ 발표… “최신 베라 루빈 탑재”
- 델, 2U에 2페타급 저장… ‘파워스토어’ 신모델 발표
- 델, 2026년 AI 기술 트렌드 ‘거버넌스·데이터’ 주목