[컴퓨터월드] 최근 백업 업계에서 ‘랜섬웨어(Ransomware)’ 공격에 대한 대비책으로 불변(Immutable) 스토리지나 에어 갭(Air Gap) 백업 전략을 구비할 것을 강조하는 가운데, 백업 솔루션 기업으로 잘 알려진 아크로니스(Acronis)가 “백업은 랜섬웨어 공격을 당한 후의 수습책일 뿐 예방책은 되지 못한다”고 주장하며 자사 통합 데이터 보호 솔루션의 기술력을 강조하고 나섰다. 아크로니스코리아의 전현근 부장을 만나 ‘아크로니스 사이버 프로텍트(Acronis Cyber Protect)’가 랜섬웨어 대응에 있어 어떤 장점을 갖고 있는지를 들어봤다.

“백업만 준비하는 건 수동적…예방 대책 수립해야”

아크로니스가 최근 기승을 부리고 있는 랜섬웨어에 대한 백업 업계의 대응 방법에 문제를 제기하고 나섰다. 랜섬웨어는 일단 감염이 되지 않도록 조심하는 것이 최우선이지만, 모든 사이버 공격이 그렇듯 현실적으로 공격을 100% 방지하는 것은 불가능하다. 이에 최근 다수의 백업 업체들은 랜섬웨어 감염 시 백업본을 이용해 빠르게 데이터를 복구함으로써 비즈니스에 주는 영향을 최소화하는 것이 실효성 있는 대책이라는 메시지를 던지고 있다.

특히 최근에는 백업 데이터를 먼저 파괴한 후 데이터를 암호화하는 계획적이고 집요한 랜섬웨어 공격이 늘어나고 있다. 이에 업계는 메인 시스템과 네트워크 연결을 분리한 에어갭(Air Gap) 방식의 백업 스토리지나 WORM(Write Once Read Many) 혹은 불변(Immutable) 스토리지를 구축하는 것을 필수적인 백업 전략으로 가져가야 한다고 강조하고 있다.

하지만 아크로니스는 랜섬웨어 공격에 대비해 백업 대책만을 수립하는 것은 사후 수습에만 초점을 맞춘 대응 방식이며, 매우 수동적인 접근이라고 주장한다. 즉 장마철 수해 방지 대책으로 수재민 구호와 파괴된 시설의 복구만을 준비할 뿐, 수해를 입지 않기 위한 사전 예방 대책을 전혀 세우지 않는 것과 같다는 것이다. 또한 백업 대책에만 집중하면 랜섬웨어 피해의 파급 효과를 사전에 최소화하기 위한 대책을 전혀 수립하지 않게 되므로, 피해 규모에 대한 예측 역시 상대적으로 축소될 수 있다는 점도 지적한다. 결론적으로 아크로니스는 아무리 빠르게 데이터를 복구한다고 해도 업무 연속성의 공백은 피할 수 없으며, 어떤 백업도 랜섬웨어 공격 자체를 ‘방어’할 수는 없다고 지적한다.

백업 솔루션 기업으로 잘 알려진 아크로니스가 이처럼 백업이 불완전한 대책이라고 말하는 이유는 무엇일까. 이는 바로 최근 몇 년간 아크로니스가 백업을 넘어 ‘데이터 보호’를 위한 기술 역량들을 총체적으로 보강해왔기 때문이다.

아크로니스는 사이버 위협이 더 이상 단층적인 접근 방식과 포인트 솔루션만으로는 대처가 어렵다는 판단 아래, 사이버 보안에 대한 모든 것을 통합하는 전체적 접근법을 전략으로 채택했다. 이에 회사는 악성 프로그램의 실행을 감지하고 차단하는 행동 감지 엔진부터, DLP(데이터 유실 방지), 취약성 평가, 패치 관리, 그리고 최근에는 EDR(엔드포인트 감지 및 대응)까지 다양한 기능들을 기존 백업 솔루션에 통합해 ‘데이터 보호’를 위한 풀 스택(Full-Stack) 솔루션인 ‘아크로니스 사이버 프로텍트(Acronis Cyber Protect)’를 선보이고 있다.

아크로니스코리아 전현근 부장은 “백업 전문 벤더가 이야기하는 데이터 불변성을 갖춘 백업 데이터로 랜섬웨어를 방어한다는 논리는 사후 대응이고, 기본으로 갖춰야 하는 데이터 무결성 조건을 충족하는 데도 그 한계가 분명히 존재한다. 결국 랜섬웨어에 제대로 대비하기 위해서는 능동적인 사이버 공격 방어와 사후 대응 조치를 동시에 갖춰야 한다”면서 “즉 랜섬웨어 공격을 최대한 사전에 탐지해 가능한 한 막아내는 사이버 보안 기능이 반드시 있어야 하며, 그래도 안 될 경우 백업으로 복구하는 사이버 복원력을 갖춰야 한다”고 덧붙였다.

랜섬웨어 예방과 대응이 가능한 통합 솔루션 제공

아크로니스는 랜섬웨어 피해를 입은 고객의 데이터를 복구만 하는 데 그치지 않고, 사용자 장치를 공격하는 모든 사이버 위협에 대해 취약성 평가를 비롯한 패치 관리 기능으로 시스템을 항상 최신으로 유지할 수 있게 만들어 잠재적인 위협들을 먼저 예방한다는 점을 강조한다. 뿐만 아니라 시스템 운영 중에는 ‘아크로니스 사이버 프로텍트’의 기능으로 실시간으로 장치들을 감시하고, 새로 설치되는 프로세스들을 관리까지 하면서 혹시나 발생할 수 있는 문제를 최소화한다.

이와 함께 실제 문제가 발생했을 때는 빠르게 대응하고 안전하게 복구하는 과정이 매우 중요하다. 아크로니스의 통합 솔루션은 단일 에이전트를 통해 데이터 손실 및 복원이 필요한 시점을 파악하고 신속한 복구를 보장하며, 데이터를 변경하는 동안 위협을 누락하거나 탐지하면 백업본으로부터 데이터를 즉시 복원한다. 그리고 이러한 모든 과정들을 하나의 통합된 솔루션으로 제공한다는 것이 아크로니스의 강점이다.

특히 독자적 기술인 ‘아크로니스 액티브 프로텍션(Acronis Active Protection)’은 랜섬웨어를 탐지하고 복원하는 고급 랜섬웨어 방지 기능을 제공한다. 문서, 미디어 파일, 프로그램, 그리고 ‘아크로니스 사이버 백업(Acronis Cyber Backup)’ 파일 등까지 시스템의 모든 데이터를 능동적으로 보호한다.

또한 아크로니스 액티브 프로텍션은 시스템에서 데이터 파일이 변경되는 방식의 패턴을 지속적으로 감시한다. 일회성으로 발생하는 행동이 다시 한번 발생한다면 파일에 대해 적대적인 작업을 수행하는 의심스러운 프로세스의 신호로 판단해, 이를 악의적인 행동 패턴과 비교한다.

아크로니스코리아 전현근 부장은 “아크로니스의 솔루션은 랜섬웨어가 암호화를 시작하면 이 작업들의 패턴을 파악해 랜섬웨어로 판단하고 프로세스를 중단시킨다. 그리고 백업본으로부터 실시간으로 파일을 복구시킨다. 이러한 대응은 아크로니스가 디스크 캐시 영역에 대한 백업에서 출발한 회사기에 가능하다. ‘아크로니스 브레인(Acronis Brain)’이라고 부르는 인공지능(AI)/머신러닝(ML) 기반 모델이 전 세계에 깔린 에이전트에서 수집되는 데이터를 기반으로 블랙리스트와 화이트리스트를 실시간으로 만들고 있으며, 악성 행위로 의심되는 이벤트가 발생한 후 멀웨어인지를 판정, 대응하는 작업을 10밀리초(ms) 이내에 수행한다”고 설명했다.

에이전트 자체 보호 기능 갖춰

최근 조직의 정보 시스템에 침입한 해커들은 백업 데이터를 훼손하는 것을 최우선 목표 중 하나로 삼는다. 랜섬웨어 공격을 보다 성공적으로 수행하기 위해서다. 이와 함께 백업 데이터의 생성을 막기 위해 백업 에이전트를 종료시키거나, 멀웨어가 지속적으로 실행될 수 있도록 레지스트리를 변경하는 공격도 시도한다. 하지만 아크로니스 클라우드 프로텍트가 제공하는 ‘자체보호’ 기능을 통해서는 에이전트가 설치된 엔드포인트 내에서 백업 데이터나 에이전트 레지스트리가 무단 삭제/변경되는 일을 방지할 수 있다.

아크로니스코리아 전현근 부장은 “랜섬웨어로 인한 데이터의 암호화는 해커들의 공격이 성공에 이른 결과물이라고 할 수 있다. 랜섬웨어 공격의 목적을 성공적으로 달성하기 위해서는 후속 백업 데이터가 생성되지 못하도록 에이전트를 훼손하고, 볼륨 섀도우 카피(Volume Shadow Copy)를 삭제하며, 사용자가 인식하지 못하도록 멀웨어에 감염된 상태를 유지하도록 해야 한다. 이를 통해 계속해서 정보를 수집하고 피해를 극대화시킬 수 있다”고 말하고 “아크로니스는 자체 보호 기능과 함께 백업 데이터의 멀웨어 감염 여부 스캔 기능 등을 제공해 이러한 상황에 완벽하게 대응이 가능하다. 랜섬웨어 감염을 실시간으로 방어해주는 ‘아크로니스 액티브 프로텍션’ 기능 역시 차별점으로 꼽을 수 있다. 참고로 아크로니스는 대표적 모의 랜섬웨어 테스트 도구인 ‘랜심(Ransim)’으로 검증한 결과 대부분의 랜섬웨어를 차단할 수 있음을 입증한 바 있다”고 덧붙였다.

데이터 불변성도 기본 지원

아크로니스의 통합 사이버 보호 솔루션은 만일의 사태를 대비, 데이터 불변성도 기본적으로 지원한다. 아크로니스 역시 백업 솔루션 벤더였기에 당연하다. 변조 불가능한 백업 기능을 사용하면 백업 삭제 지연으로 규정 준수를 강화하고 데이터 손실을 방지할 수 있다. 이러한 변조 불가능한 백업은 멀웨어 공격을 당해 데이터 감염 또는 손상이 일어나는 외부의 악의적 행동과 우발적인 데이터 삭제, 백업 작업이 중지되거나 변경되고 복원 지점이 삭제되는 등의 악의적 내부자 행동이 이뤄지는 상황에서 어떤 백업본도 손실되지 않고 데이터를 쉽게 복구할 수 있도록 한다.

아크로니스 사이버 프로텍트 21.12 릴리스에는 새로운 불변 스토리지 기능이 추가돼 MSP(매니지드 서비스 공급사)가 데이터 보호 서비스를 개선하고 엔드포인트에 대한 랜섬웨어 공격으로 인해 백업이 암호화되거나 삭제되지 않도록 한다. 현재 아크로니스는 거버넌스 모드(governance mode)와 컴플라이언스 모드(compliance mode) 2가지로 불변 스토리지를 사용할 수 있도록 제공한다. 따라서 기업에서 목적에 맞게 불변 스토리지를 운영할 수 있다.

불변 스토리지를 사용하면 지정된 보존 기간 동안 삭제된 백업에 액세스할 수 있다. 이러한 백업본에 저장된 콘텐츠를 복구할 수는 있지만, 백업 파일을 변경하거나 원래 저장소로 다시 옮길 수는 없다. 보존 기간이 종료되면 불변 스토리지의 백업은 영구적으로 삭제된다.

전현근 부장은 마지막으로 “랜섬웨어 공격자의 침입 및 공격 프로세스는 △엔드포인트 침입 및 관리자(admin) 계정 갈취 △랜섬웨어 피해를 극대화하는 데 필요한 정보 수집을 위해 멀웨어 실행 △백업 데이터가 더 이상 생성되지 못하도록 볼륨 쉐도우 카피 삭제, 에이전트 종료 △랜섬웨어 실행 △데이터 암호화 등의 단계를 거쳐 이뤄진다. 백업은 이 가운데 마지막 데이터 암호화 이후의 단계에서만 대응 가능한 대책이다. 하지만 아크로니스는 이 모든 과정에서 대응이 가능하다. 이것이 바로 아크로니스의 차별성이자, 확실한 경쟁 우위 요소라고 할 수 있다”고 강조했다.