100% 방어 불가능한 시대... 침해 전제 복구 중심 사이버 복원 전략으로 전환해야
[보안뉴스= 박정재 한국 델 테크놀로지스 이사] 사이버 공격은 더 이상 ‘막아야 하는 위협’이 아니라 ‘언젠가는 발생하는 사건’으로 여겨진다. 한국인터넷진흥원에서 발표한 사이버 위협 동향 보고서에 따르면 악성코드의 비중이 점점 더 증가하고 있고, 악성 코드의 90% 이상이 랜섬웨어 공격에 의한 것이라고 보고된 만큼 기존의 보안 체계만으로는 100% 방어가 불가능하다는 점이 분명해지고 있다.
[출처: gettyimagesbank]
그럼에도 불구하고 침해 사고 발생 시 대부분의 기업들이 핵심 데이터를 완전히 복구할 수 있을지에 대해 확신하기 어려운 상황이다. 방어 중심의 보안 전략에서 벗어나, 침해를 전제로 한 복구 중심의 ‘사이버 복원’(Cyber Resilience) 전략으로 전환해야 할 이유는 분명하다.
백룸에서 보드룸으로
과거에는 조직 내 소수의 IT 전문가가 백업과 복구를 담당해 왔다. 사고가 일어나지 않으면 특별히 조명받지 않는 영역에 머물렀다. 하지만 지금은 상황이 완전히 달라졌다. 전통적인 백업 및 DR이 물리적 장애나 시스템 장애에 대응하기 위한 것이라면, 오늘날에는 언제든 발생할 수 있는 사이버 공격 혹은 컴플라이언스 위반이 비즈니스를 중단시키고 신뢰를 훼손하며 기업 전체를 위험에 빠뜨릴 수 있다. 이제 사이버 회복력은 보드룸에서 논의되며, 경영진에서 빠르고 안전한 복구를 위한 실질적인 전략과 도구를 필요로 한다.
확대되는 역할: 새로운 페르소나, 새로운 요구
사이버 회복력의 중요성이 커지면서 관련된 사람들의 범위도 넓어졌다. 이제는 기술자뿐 아니라 클라우드 아키텍트, CISO, CIO, 디지털 전환 리더 등 다양한 이해관계자들이 여기에 참여한다. 때문에 보안, 유연성, 비즈니스 목표를 균형 있게 충족시키는 확장 가능하고 사용하기 쉬운 솔루션이 요구된다.
또한 클라우드와 온프레미스 도구를 혼합해 사용하는 환경이 보편적이기 때문에 사이버 복원 전략은 확장과 통합을 고려해야 한다. 시스템이 변화하는 요구 속에서도 안정적이고 매끄럽게 함께 작동하는 것이 중요하다.
▲데이터 격리[출처: 한국 델 테크놀로지스]
데이터 격리가 필수
랜섬웨어를 중심으로 하는 사이버 공격은 그 특성상 동일한 네트워크를 통해 백업 데이터까지 감염시킬 수 있다는 점에서 기존과는 완전히 다르게 접근해야 할 필요가 있다. 운영 환경과 논리적·물리적으로 분리된 ‘격리된 복구 환경’이 필수적이다.
이러한 맥락에서 델 테크놀로지스는 고객들에게 변조가 불가능한 데이터 복제 및 데이터 금고(vault)를 제안한다. 변조 불가능한 데이터 복제본이란 설정된 보존 기간 내엔 어떠한 경우에도 수정이나 삭제가 불가능한 사본으로서, 랜섬웨어나 바이러스 같은 악의적인 애플리케이션이 데이터를 파괴하거나 감염시킬 수 없다. 데이터 금고란 귀중품을 금고에 보관하듯 기업의 핵심 데이터를 안전하게 격리 보관하는 장소이다.
백업 데이터를 향한 공격에 대응
최근 사이버 공격은 메인 데이터센터 뿐 아니라 백업 데이터센터를 향해 일어나기 때문에 미션 크리티컬 데이터에 대해서는 메인 데이터센터(주센터 또는 프라이머리 데이터센터)와 백업 데이터센터(세컨더리 데이터센터) 뿐만 아니라 3rd Copy(세번째 카피)를 만들어 두는 것이 권장된다.
델의 ‘파워프로텍트 사이버 리커버리’(PowerProtect Cyber Recovery)는 백업 데이터 중에서도 핵심 비즈니스 복구에 반드시 필요한 데이터를 선별해 별도의 ‘데이터 금고’(Cyber Recovery Vault)에 격리 보관하는 방식으로 설계된다. 평상시에는 네트워크 연결을 차단하는 에어갭(Air Gap) 구조를 유지하고, 필요한 시점에만 제한적으로 연결해 데이터를 복제함으로써 외부 공격으로부터 원천적으로 접근을 차단한다.
▲박정재 한국 델 테크놀로지스 이사[출처: 한국 델 테크놀로지스]
복제된 백업 복사본은 변경 불가능한(WORM: Write Once Read Many) 데이터 복제 기술을 적용해, 저장된 데이터가 어떠한 경우에도 수정되거나 삭제되지 않도록 보호한다. 이는 랜섬웨어가 백업 데이터까지 암호화하거나 삭제하는 시나리오를 원천적으로 차단하는 핵심 요소다. 여기에 머신러닝 기반의 데이터 분석 솔루션인 사이버센스(Cyber Sense)와 연동해 데이터의 이상 징후나 변조 여부를 사전에 탐지하고, 침해 여부를 빠르게 판단할 수 있도록 지원한다. ‘파워프로텍트 데이터 매니저’ 백업 소프트웨어는 머신러닝 기반의 ‘이상 징후 탐지’(Anomaly Detection) 기능을 통해 백업 과정에서 랜섬웨어의 흔적을 실시간으로 포착한다. 데이터의 패턴과 행위 변화를 정밀하게 분석해 의심스러운 백업본을 선제적으로 격리함으로써, 공격 발생 시에도 오염되지 않은 깨끗한 데이터로 안전하게 복구할 수 있다.
기업 경쟁력은 ‘복구 속도’가 좌우한다
사이버 보안의 패러다임은 ‘완벽한 방어’에서 ‘신속한 복구’로 이동하고 있다. 공격을 완전히 차단하는 것은 불가능하지만, 피해를 최소화하고 빠르게 정상 상태로 돌아오는 것은 충분히 가능하다. 이를 위해서는 기술적 솔루션뿐 아니라, 조직의 인식 전환과 함께 복구 중심의 운영 프로세스가 병행되어야 한다.
이제 기업의 경쟁력은 ‘얼마나 안전한가’가 아니라 ‘얼마나 빠르게 회복할 수 있는가’에 의해 결정된다. 격리, 불변성, 자동화, 그리고 지능형 분석을 기반으로 사이버 공격 이후에도 비즈니스를 지속할 수 있는 실질적인 복구 전략을 갖춰야 할 때이다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스= 박정재 한국 델 테크놀로지스 이사] 사이버 공격은 더 이상 ‘막아야 하는 위협’이 아니라 ‘언젠가는 발생하는 사건’으로 여겨진다. 한국인터넷진흥원에서 발표한 사이버 위협 동향 보고서에 따르면 악성코드의 비중이 점점 더 증가하고 있고, 악성 코드의 90% 이상이 랜섬웨어 공격에 의한 것이라고 보고된 만큼 기존의 보안 체계만으로는 100% 방어가 불가능하다는 점이 분명해지고 있다.
[출처: gettyimagesbank]
그럼에도 불구하고 침해 사고 발생 시 대부분의 기업들이 핵심 데이터를 완전히 복구할 수 있을지에 대해 확신하기 어려운 상황이다. 방어 중심의 보안 전략에서 벗어나, 침해를 전제로 한 복구 중심의 ‘사이버 복원’(Cyber Resilience) 전략으로 전환해야 할 이유는 분명하다.
백룸에서 보드룸으로
과거에는 조직 내 소수의 IT 전문가가 백업과 복구를 담당해 왔다. 사고가 일어나지 않으면 특별히 조명받지 않는 영역에 머물렀다. 하지만 지금은 상황이 완전히 달라졌다. 전통적인 백업 및 DR이 물리적 장애나 시스템 장애에 대응하기 위한 것이라면, 오늘날에는 언제든 발생할 수 있는 사이버 공격 혹은 컴플라이언스 위반이 비즈니스를 중단시키고 신뢰를 훼손하며 기업 전체를 위험에 빠뜨릴 수 있다. 이제 사이버 회복력은 보드룸에서 논의되며, 경영진에서 빠르고 안전한 복구를 위한 실질적인 전략과 도구를 필요로 한다.
확대되는 역할: 새로운 페르소나, 새로운 요구
사이버 회복력의 중요성이 커지면서 관련된 사람들의 범위도 넓어졌다. 이제는 기술자뿐 아니라 클라우드 아키텍트, CISO, CIO, 디지털 전환 리더 등 다양한 이해관계자들이 여기에 참여한다. 때문에 보안, 유연성, 비즈니스 목표를 균형 있게 충족시키는 확장 가능하고 사용하기 쉬운 솔루션이 요구된다.
또한 클라우드와 온프레미스 도구를 혼합해 사용하는 환경이 보편적이기 때문에 사이버 복원 전략은 확장과 통합을 고려해야 한다. 시스템이 변화하는 요구 속에서도 안정적이고 매끄럽게 함께 작동하는 것이 중요하다.
▲데이터 격리[출처: 한국 델 테크놀로지스]
데이터 격리가 필수
랜섬웨어를 중심으로 하는 사이버 공격은 그 특성상 동일한 네트워크를 통해 백업 데이터까지 감염시킬 수 있다는 점에서 기존과는 완전히 다르게 접근해야 할 필요가 있다. 운영 환경과 논리적·물리적으로 분리된 ‘격리된 복구 환경’이 필수적이다.
이러한 맥락에서 델 테크놀로지스는 고객들에게 변조가 불가능한 데이터 복제 및 데이터 금고(vault)를 제안한다. 변조 불가능한 데이터 복제본이란 설정된 보존 기간 내엔 어떠한 경우에도 수정이나 삭제가 불가능한 사본으로서, 랜섬웨어나 바이러스 같은 악의적인 애플리케이션이 데이터를 파괴하거나 감염시킬 수 없다. 데이터 금고란 귀중품을 금고에 보관하듯 기업의 핵심 데이터를 안전하게 격리 보관하는 장소이다.
백업 데이터를 향한 공격에 대응
최근 사이버 공격은 메인 데이터센터 뿐 아니라 백업 데이터센터를 향해 일어나기 때문에 미션 크리티컬 데이터에 대해서는 메인 데이터센터(주센터 또는 프라이머리 데이터센터)와 백업 데이터센터(세컨더리 데이터센터) 뿐만 아니라 3rd Copy(세번째 카피)를 만들어 두는 것이 권장된다.
델의 ‘파워프로텍트 사이버 리커버리’(PowerProtect Cyber Recovery)는 백업 데이터 중에서도 핵심 비즈니스 복구에 반드시 필요한 데이터를 선별해 별도의 ‘데이터 금고’(Cyber Recovery Vault)에 격리 보관하는 방식으로 설계된다. 평상시에는 네트워크 연결을 차단하는 에어갭(Air Gap) 구조를 유지하고, 필요한 시점에만 제한적으로 연결해 데이터를 복제함으로써 외부 공격으로부터 원천적으로 접근을 차단한다.
▲박정재 한국 델 테크놀로지스 이사[출처: 한국 델 테크놀로지스]
복제된 백업 복사본은 변경 불가능한(WORM: Write Once Read Many) 데이터 복제 기술을 적용해, 저장된 데이터가 어떠한 경우에도 수정되거나 삭제되지 않도록 보호한다. 이는 랜섬웨어가 백업 데이터까지 암호화하거나 삭제하는 시나리오를 원천적으로 차단하는 핵심 요소다. 여기에 머신러닝 기반의 데이터 분석 솔루션인 사이버센스(Cyber Sense)와 연동해 데이터의 이상 징후나 변조 여부를 사전에 탐지하고, 침해 여부를 빠르게 판단할 수 있도록 지원한다. ‘파워프로텍트 데이터 매니저’ 백업 소프트웨어는 머신러닝 기반의 ‘이상 징후 탐지’(Anomaly Detection) 기능을 통해 백업 과정에서 랜섬웨어의 흔적을 실시간으로 포착한다. 데이터의 패턴과 행위 변화를 정밀하게 분석해 의심스러운 백업본을 선제적으로 격리함으로써, 공격 발생 시에도 오염되지 않은 깨끗한 데이터로 안전하게 복구할 수 있다.
기업 경쟁력은 ‘복구 속도’가 좌우한다
사이버 보안의 패러다임은 ‘완벽한 방어’에서 ‘신속한 복구’로 이동하고 있다. 공격을 완전히 차단하는 것은 불가능하지만, 피해를 최소화하고 빠르게 정상 상태로 돌아오는 것은 충분히 가능하다. 이를 위해서는 기술적 솔루션뿐 아니라, 조직의 인식 전환과 함께 복구 중심의 운영 프로세스가 병행되어야 한다.
이제 기업의 경쟁력은 ‘얼마나 안전한가’가 아니라 ‘얼마나 빠르게 회복할 수 있는가’에 의해 결정된다. 격리, 불변성, 자동화, 그리고 지능형 분석을 기반으로 사이버 공격 이후에도 비즈니스를 지속할 수 있는 실질적인 복구 전략을 갖춰야 할 때이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
