랜섬웨어 와 바이러스
악성코드는 랜섬웨어, 바이러스, 스파이웨어를 통틀어 얘기하는 단어인데,
랜섬웨어가 매우 큰 문제를 가지고 있다.
바이러스는?
바이러스가 감염이 되면 파일을 살릴 수 있었는가? 그렇지않다.
바이러스가 감염이 되면, 백신 벤더가 감염파일을 원복해주는 알고리즘의 패턴을 만들어 백신에 배포하지 않는한 답이 없었다.
그래도 오래 기다리고 요청한다면 복구 가능한 패턴을 업데이트 해주고 복구가 가능하였다.
랜섬웨어가 왜 더 큰 문제인가?
랜섬웨어는 원본파일을 바이러스와 같이 똑같이 훼손을 시키는 면서 복구에 필요한 알고리즘
특정 부분에 “복구키“를 넣어야 하기 때문이다.
복구키를 생성하는 알로리즘을 만드는 것을 거의 불가능하다.
악성코드가 생성될 때 암호화키를 해커에게 전달해주고, 그에 맞는 복구키를 생성받아서 복구를
해야 하기 때문이다.
랜섬웨어 감염 후 물리적인 디스크를 복구가 가능하지 않냐? 라고 물어보는 분들이 계신다.
그런데 그부분은 거의 불가능하다. 디스크의 특성상 파일은 디스크 섹터에 기록이 된다. OS에서 파일을 삭제했다는 의미는 섹터 주소값을 없애서 해당 위치를 못찾게 한다는 것이다.
따라서 복구 툴을 사용해서 섹터에 기록된 내용을 다시 뒤지면 복구가 가능한 것이다.
그러나 랜섬웨어는 원본파일 편집한 것이다.
A라는 엑셀 파일을 열어서, 그 안에 암호화되는 내용을 막 섞어서 다시 저장을 하였기 때문에,
삭제와는 달리 원본이 변형되었다. 그에 따라 복구 툴로 살리는 것이 거의 불가능 하다.
랜섬웨어(악성코드)에 취약한 업무 공유 형태
1.Windows 기반의 OS로 네트워크 공유 폴더를 각 PC에서 연결 및 사용한다.
2.백업을 하긴 하는데, 같은 사내의 다른 Windows OS에 자동 복사 형태로 한벌을 더 둔다.
3.백업 솔루션은 비싸서 수동으로 DB를 파일로 덤프 후 USB에 복사한다.
4.Windows 내의 스냅샷 기술로 볼륨을 하루에 1번씩 스냅샷 저장한다. (많지 않은 케이스)
5.백업 솔루션은 비싸서 수동으로 DB를 파일로 덤프 후 USB에 복사한다.
랜섬웨어(악성코드)를 방어할 수 있는 업무 공유 형태
1.NAS 전용 OS가 탑재된 NAS를 파일서버로 사용한다.
2.NAS에 볼륨 스냅샷 기능을 사용하여 하루에 2번 이상 스냅샷 생성을 한다.
3.중요 서버의 DATA는 NAS의 파일 동기화 Tool을 사용하여, NAS에 자동 저장 되게 한다.
4.NAS는 BOX나 One Drive와 같은 클라우드 저장소와 다시 복제를 한다.
5.백업 솔루션을 사용하여, 중요 서버에 대한 백업은 1차 Disk 백업 후 2차 Tape 백업을 한다.
보통 100인 이하의 회사의 백업컨설팅을 가보면 상기 방법대로 많이 백업을 한다고 하신다.
문제점을 하나씩 보자면,
공유폴더로 마운트된 PC에서 악성코드 감염시 공유폴더 파일 역시 암호화가 된다.
또한 원본 데이터를 복사하여 다른 PC에 저장을 한다라고 할 때, 악성코드에서 Windows 보안 취약점을 사용한 악성코드 전파 및 감염에는 완벽하게 대응이 어렵다. USB 디스크 역시 연결되어 있다면 감염이 된다.
랜섬웨어에 가장 좋은 대처 방법은 백업이다. 현실적인 랜섬웨어의 대안은 스냅샷 + 백업 이다.
스냅샷 과 백업의 차이점
원본 데이터 종속성
스냅샷과 백업의 가장 큰 차이점은 바로 ‘원본 데이터 종속성’입니다. 스냅샷은 원본의 완벽한 복사본이 아니기 때문에 원본 데이터가 저장된 공간에 오류가 발생할 경우 복구가 불가능합니다.
백업의 경우 데이터 전체를 완전한 형태의 사본으로 복제해 저장하기 때문에 원본 데이터에 영구적인 손상이 가해져도 백업된 시점의 데이터 전체를 완벽하게 복구할 수 있습니다.
하드웨어 벤더 종속성
스냅샷의 경우 원본 데이터가 저장되는 스토리지 내에 저장됩니다. 따라서 스토리지 하드웨어 벤더를 변경하는 경우 이전 스토리지에 있는 스냅샷을 활용할 수 없게 됩니다.
백업의 경우 별도의 스토리지에 저장돼 보관하기 때문에 하드웨어를 변경하게 되어도 백업 데이터를 활용할 수 있어 벤더 종속성으로부터 자유롭습니다.
작업에 따른 부하 및 소요 시간
스냅샷의 경우 전체 데이터를 복제하지 않기 때문에 스냅샷 생성 및 데이터 복원에 소요되는 시간이 획기적으로 단축됩니다. 또한 수정이 필요한 부분의 원본 데이터만을 입력해두기 때문에 전체를 복제하는 백업보다 성능상의 오버헤드를 줄일 수 있습니다. 빈번한 업데이트를 진행하거나 데이터 수정이 잦은 경우에 스냅샷을 활용하는 것이 적합합니다.
스토리지 스냅샷과 백업은 각각의 단점을 보완해주는 역할을 합니다.
IT 전문가들은 어느 한 가지 방법에만 의존하기보다는 스냅샷과 백업을 함께 활용해 백업 주기와 복구 소요 시간을 수 분 단위로 짧게 유지하는 것이 데이터 보호에 가장 바람직한 방법이라고 말합니다.
백업과 스냅샷의 결론을 보자면 데이터를 복구한다는 부분에서는 동일한 기능을 한다.
백업은
원본위치(디스크)에서 다른 매체로 복사를 한다는 개념이다.
그만큼 복사본을 저장하기 위한 용량(비용)과 시간이 많이 필요하다.
스냅샷은
원본위치(디스크)의 일부 공간을 복구용 저장소로 사용한다.
원본 저장소가 하드웨어적인 문제가 생기면 스냅샷도 소용이 없다는 것이다.
스냅샷은 생성 및 복구가 매우 빠르다.
원본 저장소의 데이터가 인위적으로 변경되거나 지워져도 바로 복구가 가능하다.
효과적인 공유 형태중 하나인 전용 NAS 장비를 사용하자는것이다.
파일공유를 위해서는 PC 또는 서버 하드웨어를 사용한다. 그 비용을 NAS가 대체 한다고 생각하면 편할것이다. NAS에 내장된 전용 OS는 Windows 만큼 보안취약점 노출 적고, 또한 악성코드 실행을 할 수 있는 환경이 매우 제한적이라 조금 더 안전할 수 있다. 그리고 위에서 언급한 스냅샷 기능을 가지고 있다.
NAS 역시 파일 서버와 마찬가지로 공유폴더 형태로 다른 PC에 연결될 수 있다. 이 경우 감염의 주체가 PC이며 공유된 NAS 폴더도 암호화 공격 대상이 된다. 물론 감염도 된다.
악성코드(랜섬웨어) 감염에 따른 대안이 2번이다. NAS OS에 탑재된 스냅샷 기능을 통해 공유폴더 및 볼륨의 스냅샷 저장 및 복구가 가능하다. 보통 HP IBM 스토리지벤더의 스토리지는 고가이므로, 작은 회사에서 NAS를 도입하여 스냅샷을 통한 복구를 할 수 있으므로 큰 메리트라 생각된다. 이렇게 되면, 해당 공유 폴더가 감염이 되었더라도, NAS OS에서 해당 볼륨을 스냅샷 복구를 하면 바로 원래 데이터를 사용할 수 있다.
중요한 서버는 역시 원본을 다른곳에 복사본을 두어야 한다는 것이다. NAS에 백업을 하기 위한 솔루션 역시 시놀로지와 큐냅과 같은 NAS 벤더에서 함께 번들 제공이 된다. 손쉽게 데이터가 생성되면 바로 실시간 복사가 되는 Sync 형태의 솔루션을 사용하면 된다. 저장된 데이터는 스냅샷을 통해 함께 보호가 된다.
대안을 제시한 이유는 NAS의 Disk가 물리적 장애로 인해 복구가 불가능한 경우를 대비해서이다. 이러한 클라우드 서비스로의 동기화 역시 NAS 안의 소프트웨어로 가능하다. 최악의 상황을 대비를 하자.