병원과 병원인의 병원신문 최종편집2021-10-26 20:20 (화)
[기고]일반백업과 랜섬웨어 방어 보안백업은 다르다
상태바
[기고]일반백업과 랜섬웨어 방어 보안백업은 다르다
  • 병원신문
  • 승인 2017.07.07 17:04
  • 댓글 0
이 기사를 공유합니다

이형택 한국랜섬웨어침해대응센터장(이노티움 대표)
단 한 번의 공격으로 13억원을 번 에레버스 공격 실체가 밝혀졌다.

6월28일 미래부는 웹호스팅업체 인터넷나야나의 해킹피해는 보안이 취약한 중소인터넷호스팅기업을 노린 APT(지능형 지속위협)공격과 랜섬웨어가 결합한 사고라고 밝혔다.

미래부의 중간보고에 따르면 공격자들은 사전에 탈취한 계정정보를 활용해 인터넷나야나의 통신용 게이트웨이 서버와 호스팅 사업부의 웹서버를 해킹해 공격 거점을 마련한 뒤 고객 서버 300대 중 153대에 랜섬웨어를 몰래 설치하고, 6월 10일 오전 1시에 파일암호화를 개시했다.

이로 인해 5천496개의 고객 홈페이지가 장애를 빚었다. 만일의 사태를 위해 백업을 받아 두었지만 백업 데이터도 공격받아 복구가 불가능하여 해커와 거래를 하지 않을 수 없었다. 

이번 에레버스 랜섬웨어 침해사건의 원인은 3가지로 분석된다.

첫째는 관리자용 PC는 외부와의 접속을 차단해야 하지만 인터넷에 접속 가능한 상태였고, ID와 패스워드만으로도 서버 접근이 가능해 서버의 계정정보 탈취에 대해 무방비 상태였다. 수시로 패스워드만 변경했어도 이렇게 쉽게 해킹하지 못했을 것이다.

둘째는 에레버스 랜섬웨어는 윈도OS를 공격했던 기존의 랜섬웨어와는 다르게 보안이 취약한 리눅스OS를 공격해서 피해가 컸다. 리눅스OS의 보안이 취약한 이유는 예산절감을 위해 무료 OS와 DBMS를 사용하는 등 보안에 거의 투자를 않고 있기 때문이다. 보안업체 역시 무료 기반의 저가 시장인데다 다양한 리눅스 버전에 대한 개발부담 때문에 투자하기가 어려운 실정이다. 해커가 이 점을 노린 것이다.

셋째는 이미 구축된 3중 백업체계가 랜섬웨어 방어를 위해서는 적당하지 않았다는 것이다. 기존 운영 중이던 백업체계는 침투력이 역대 최고인 랜섬웨어 공격을 고려하지 않은 일반백업이다. 3중으로 백업을 했지만 동일한 네트워크 내에서 시행했기 때문에 해커에게 무력하게 당한 것이다.

랜섬웨어 방어를 위해서는 백업의 방법을 보안백업으로 업그레이드 해야한다.   

기존 보안기술은 이미 랜섬웨어 해커들이 분석하여 취약점을 잘 파악하고 있기 때문에 새로운 방어기법이 필요하다. IT재해에 대비했던 기존 백업방법 역시‘새로운 랜섬웨어 방어 보안백업 방식’으로 업그레이드해야만 이번 웹호스팅업체와 같은 피해가 재발하지 않을 것이다

그러면 일반백업과 랜섬웨어를 방어하는 보안백업은 어떻게 다른가?

첫째로 사전에 암호화를 차단하기 위해 행위기반으로 랜섬웨어를 탐지, 분석 및 차단하는 보안기술이 탑재되어야 한다.

DB서버를 직접 공격하는 랜섬웨어와 DB접근 권한을 가진 사용자PC로부터 공격당하여 DB서버의 커널단에서 작동하는 이상행위 프로세스를 사전에 탐지 및 분석하고 암호화 공격을 차단해야 한다.

둘째는 분리된 망으로 sFTP통신프로토콜로 백업할 수 있어야 하며, 셋째는 백업저장소가 랜섬웨어로부터 해킹되지 않도록 저장소 보호기술이 작동되어야 하며, 넷째는 랜섬웨어에 감염된 파일을 탐지하여 백업을 차단하는 기술이 탑재되어야 하고, 다섯째는 국정원 검증필 암호화 모듈을 사용하여 백업과정과 유출시 보안성을 담보해야한다.

마지막으로 실시간 중앙관제로 랜섬웨어 침해현황을 분석할 수 있어야 한다. 이 여섯 가지가 기존 IT재해에 대비하는 일반백업과 다른 점이다.

랜섬웨어 해커들이 두려워하는 것은 보안기술이 아니라 보안백업 기술이다. 그 이유는 암호화된 파일을 즉시 복구하여 해커 수익의 원천인 암호화된 파일이 즉시 복원되고 백업저장소의 해킹이 불가능하기 때문이다.

랜섬웨어 해커에게는 보안백업이 최대의 난적인 셈이다. 이런 이유로 백업기술이 중요한 보안기술로 레벨이 달라졌다. 백업의 이유있는 변신이다.

최근 랜섬웨어 방어 솔루션이 여러 가지 형태로 출시되고 있고 각사마다 자사의 솔루션이 완벽하다고 말하고 있어 사용자들의 판단이 쉽지 않다. 행위기반 사전 차단 기술과 보안백업기술이 융합한 다계층 방어플랫폼 기술이 대세다.

좋은 솔루션의 기준은 단 한가지다. 솔루션 도입 후 랜섬웨어 감염시‘원상복구 보증서’를 발행하여 보안성과 안정성을 보증할 수 있느냐 없느냐의 여부다. 기술력이 담보되지 않는 회사는 불가능한 약속이다. 

현재까지 우리나라 백업시장은 외산 하드웨어 장비와 솔루션업체가 99%를 독식하고 있는 상태로 우리 사회 각 분야의 IT재해복구와 랜섬웨어 방어 보안백업 시장을 이들이 완전히 장악하고 있다.

백업은 비상상황에서 반드시 작동되어야할 솔루션이다. 타국 솔루션에만 의존하지 않고 우리 자체 솔루션을 가져야하는 이유다. 정부와 보안업계가 시급히 개선하고 해결해야할 숙제다.

우리의 중요한 의료데이터가 랜섬웨어에 감염되어 인터넷나야나와 같이 해커에게 애원하는 사태가 재발해서는 안된다. 사전에 예방하지 않고 사후에 대응하면 수십 배의 비용과 시간의 값비싼 댓가를 치룰 것이다.

우리 병원 서버를 재점검하고 일반백업 방식을 랜섬웨어 방어 보안백업 방식으로 전환해야 한다. 오늘 바로 구체적이고 신속한 행동이 필요하다.
 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사