불변(Immutability), 랜섬웨어(Ransomware), 데이터 보호(Your Data)원문: Immutability, Ransomware, and Your Data

불변(Immutability), 랜섬웨어(Ransomware), 데이터 보호(Your Data)

판데믹이 6개월째 지속되고 있다! 코로나 바이러스는 우리의 일상적인 생활과 사업 리듬을 완전히 뒤집어 버렸다. 다른 사람들과 마찬가지로 나도 활기넘치는 사무실을 떠나 거의 집 안에서만 일하고 있다. 많은 사람들이 워라밸, 육아 등 모든 면에서 영향을 받고 있고, 정보 보안 역시 크게 영향을 받고 있다.

글로벌 회사나 모바일 업무 환경이 준비되지 않은 회사에서는 IT와 보안 필요성이 갑자기 떠오르고 있다. CISO (최고 정보 보안 책임자)는 최근 250~300% 까지 증가하고 있는 사이버 공격을 우려하고 있다. 다음 희생자가 될까 걱정한다. 랜섬웨어가 사업을 망칠 여지가 있을까? 충격은 어느 정도로 심각할까? 일주일에 몇번씩, 나는 랜섬웨어로부터 데이터를 보호하는 방법으로 액티피오를 활용할 수 있는 지를 묻는 전화를 받는다. CISO는 데이터 백업이 외부 공격에 의해 암호화되거나 훼손되는 것을 방지하는 방법을 알고 싶어 한다.

액티피오의 핵심 기능은 운영계의 데이터를 영구 증분 방식으로 흡수하여 소위 “골든 카피본”을 만드는 것이다. 이 저장소는 각 RPO 사이의 변경 사항을 기록함으로써 특정 시점으로 복구할 수 있는 네이티브 포맷 이미지를 보관한다. 특정 시점의 이미지가 마운트 되고 나면, 마운트 이미지에 대한 변경 사항은 이 이미지의 전용 샌드박스에만 기록될 뿐 해당 시점 백업의 원본 이미지는 불변이다. 게다가 액티피오 어플라이언스는 스토리지 수준에서 발생되는 오염이나 변경을 탐지한다.

다음과 같이 가정해보자. 윈도우 서버 한대가 랜섬웨어에 감염되어 내부 데이터가 암호화 되었다. 액티피오 사용자는 감염전 시점의 이미지를 마운트하여 액티피오 가상 스토리지에서 작동시킨다. 하지만, 공격했던 악성 코드를 방지도록 패치를 적용하지 않았고, 액티피오 스토리지에서 작동하는 도중에 재감염된다. 그렇다면 당신의 백업이 감염된걸까? 아니다! 재감염된 것은 해당 백업을 기반으로 “마운트”된 복제 데이터 뿐이다. 당신은 그저 재감염된 마운트 복제본을 버려버리고 깨끗한 백업에서 새로 마운트하면 된다. 사실 몇년 전에 내가 실제로 경험한 바이다. 당시 연구 환경에서 윈도우 서버와 액티피오 Sky가 진짜 랜섬웨어에 감염되었다. 그 상황에 대한 비디오는 여기에 있다: Actifio 울고싶어요 복구 데모

내가 우리 IT팀에게 서버 몇대에 일부러 진짜 랜섬웨어에 감염시키고 싶다고 했을 때 그들의 반응을 잊지 못할 것 같다! 그 때 내가 들은 말은 당신이 아무것도 하지 않아도 당신의 액티피오 백업은 랜섬웨어에 감염되지 않는다는 것이었다. 하지만, 보다 더 높은 수준으로 통제하고 싶어하는 고객들도 있다. FFIEC 부록 J, SEC 17a(4)와 같은 금융권 법률 준수를 위해 또는 좀더 마음편히 잠을 자기 위해서일 것이다.

보존 잠금 조치

보존 잠금과 불변은 다르다. 당신의 특정 시점 백업들은 이미 모두 불변이다. 랜섬웨어는 마운트된 인스턴스를 감염시킬 수는 있어도 원본 이미지를 오염시키지 못한다. 그렇지만, 적절한 권한이 있는 액티피오 사용자라면 액티피오에 들어가서 백업을 삭제하거나 만료시킬 수 있다. 보통 랜섬웨어가 이렇게까지 할 수 없지만, 어떤 나쁜 침입자가 IT 관리자의 장비에 들어가서 인증 정보를 빼낸다면 랜섬웨어를 넣기 전에 먼저 당신의 백업을 모두 지워버릴 수 있다. 이렇게까지 되는 경우는 별로 없지만 그럴 “수도” 있다.

보존 잠금 처리는 해당 SLA의 어떤 정책에도 활성화로 설정할 수 있다. 일단 활성화로 설정되면, 보존 잠금 기간이 지나기 전에는 아무도, 심지어 슈퍼 사용자라도, 해당 이미지를 없애지 못한다. 해당 잠금 설정을 새 이미지에 적용할 수는 있어도 이미 설정된 이미지에서 설정을 풀지는 못한다. 몇몇 오브젝트 스토리지 플랫폼에서는 액티피오의 보존 잠금을 좀더 세밀하게 “오브젝트 별”로 해당 스토리지를 잠글 수 있다. 그 결과 한번 잠긴 오브젝트 즉 버킷은 스토리지 관리자조차 지우지 못한다.

이 보존 잠금을 활성화할 때는 세심하게 고려하고 또 차근차근 시작하는 것이 매우 중요하다. 일단 보존 잠금을 일주일 정도로 짧게 설정하고 그 영향 측정하기 바란다. 언제든 원하면 보다 적극적으로 활용할 수 있다. 하지만, 일단 켜고 나면 돌아갈 수는 없다. 예상치 못하게 스토리지 용량이 금방 차버리거나 클라우드 스토리지 비용이 과도하게 발생되는 상황을 바라지 않는다면 차근차근 시작하자! 랜섬웨어 복구에 대한 글은 곧 작성할 예정이다. 그 전에 먼저 랜섬웨어에 대해 최근 웹세미나 녹화 비디오를 참고하기 바란다: 랜섬웨어로부터 보호하기 웹세미나 다시보기

궁금하신 점이 있으신가요?

기술 자료, PoC, 견적, 상담 등 필요한 사항을 남기거나 연락하려면?

갤러리

액티피오 기술이 어떻게 작동되는 지 알고싶은가요?