데이터 보호를 위한 확실한 가이드

데이터 보호는 백업 및 데이터 복원성 아키텍처를 통해 데이터의 손실, 손상 또는 서비스 중단으로부터 데이터를 보호하는 프로세스입니다. 백업부터 복구 및 데이터 재사용까지, 조직이 제품, 서비스 및 운영에 대한 데이터를 안전하게 유지하고 가용성을 높이기 위해 사용할 수 있는 모든 기술과 기법을 다룹니다.

이 가이드에서는 데이터 안전을 위해 시스템 관리자가 원하는 다양한 기술과 기법에 대해 알아보겠습니다.

데이터 보호라는 용어는 종종 데이터 보안 및 데이터 프라이버시와 상호 교환적으로 사용되지만, 다음 세 용어 간에는 미묘한 차이가 있습니다.

• 데이터 보호는 종종 데이터 보안 및 데이터 프라이버시를 포함하는 포괄적 용어로 사용됩니다. 그러나 업계에서는 복원성, 중복성 및 복구를 통한 데이터 손실 또는 손상 방지를 보다 구체적으로 언급합니다.
• 데이터 보안은 방화벽, 암호화 및 기타 기술을 통해 내부 및 외부 당사자가 데이터를 무단으로 액세스, 조작 또는 손상하지 않도록 하는 것과 관련이 있습니다.
• 데이터 프라이버시는 민감한 데이터 및 정보의 노출을 방지하기 위해 데이터에 대한 액세스를 제어하는 데 중점을 둡니다. 여기에는 보안 교육, 인증 전략 및 GDPR과 같은 정보 보안 규정 준수가 포함됩니다.

조직의 데이터를 완벽하게 보호하려면 세 가지 모두에 투자해야 합니다. 이 가이드에서는 주로 데이터 보호에 초점을 맞출 것이지만, 세 가지 영역 간에 일부 중복이 존재합니다.

서버실 또는 데이터센터의 데이터 보호에 대한 오래된 기본 철칙은 이중화였습니다. 데이터의 손실 및 손상 등은 발생해선 안되기에 항상 백업을 해야 합니다.

물론 데이터 백업은 최소한의 보호 장치입니다. 데이터 보호란 여러분의 운영 기술 스택에서 가장 핵심적인 서비스를 위하여 복구 목표 시점(RPO)과 복구 목표 시간(RTO)을 관리하는 행위입니다. 다시 말해, 중요한 비즈니스 운영의 중단을 방지하기 위해 데이터를 얼마나 빠르게 백업 및 복구할 수 있는지를 의미합니다.

그렇다면 RTO와 RPO란 정확히 무엇일까요?

• 복구시간목표(RTO): 앱과 운영을 지속하기 위하여 필요한 데이터에 접근하지 못할 때 비즈니스가 감당할 수 있는 최대의 시간을 의미합니다. 이는 시스템을 복구하는 데 필요한 속도를 결정합니다. 

• 복구시점목표(RPO): 얼마만큼의 데이터 손실을 감당할 수 있는지를 의미합니다. 백업의 주기를 결정하기 위하여 RPO를 사용할 수 있습니다.

RTO와 RPO는 재난 복구 전략을 구축할 때 필요한 핵심 성과 지표(KPI)입니다.

Ransomware 통해 새로운 백업을 지원하는 이유 알아보기

백업 및 재해 복구라고도 하는 백업 및 복구는 재해 발생 시 비즈니스 서비스 및 운영을 복구할 수 있도록 데이터를 백업하는 것을 의미합니다. 재해에는 자연 재해, 정전, 인적 오류, 사이버 공격 등 모든 것이 포함될 수 있습니다. 

데이터 백업 계획

조직에서 사용할 수 있는 기술과 리소스에 따라, 대규모 데이터센터 재해 복구 전략의 일환으로 다음 백업 기술 중 하나 이상을 사용해야 할 수 있습니다.

• 전체 이미지 백업: 데이터의 풀(full) 이미지를 백업하여 즉각적으로 이용할 수 있는 복구 시점을 생성합니다. 전체 백업을 수행해야 하기 때문에, 해당 기법은 저장하는데 가장 오랜 시간이 걸립니다.
• 차등 백업: 마지막 전체 이미지 백업 이후 모든 변경 사항을 백업합니다. 복구에는 두 개의 파일만 필요합니다. 마지막 전체 이미지 백업 후 가장 최근의 차등 백업이 필요합니다. 
• 증분 백업: 마지막 전체 이미지 복원 시점 이후 변경 사항을 점진적으로 백업합니다. 증분 백업 횟수를 설정한 후, 전체 이미지 백업으로 사이클이 완료됩니다. 복구는 마지막 전체 이미지 백업에서 시작하여 대상 RPO에 대한 증분 백업으로 이어집니다. 
• 실시간 백업: 지속적인 백업으로도 불리며 데이터에 대한 모든 변경사항을 분리된 스토리지 디바이스에 즉각적으로 복제합니다. 가장 세세하고 포괄적인 백업 방식입니다.
• 즉각적인 복구: 지속적으로 업데이트되는 백업 가상머신(VM)은 프로덕션 가상머신을 위하여 유지됩니다. 프로덕션 가상머신에 고장이 발생하면, 즉각적으로 백업이 대신하기 때문에 RTO 및 RPO가 ‘0’입니다.

장기적으로 가용성이 높은 백업 솔루션을 위한 계층화된 백업 및 데이터 벙커에 대해 알아보기

데이터센터 재해 복구

견고한 백업 계획을 구현하는 것은 데이터 보호 방정식의 일부에 불과합니다. 두 번째 부분은 RTO를 달성하는 것입니다. 다시 말해, 재해 발생 시 비즈니스 시스템을 어떻게 백업하고 실행할 수 있을까요? 일반적인 재해 복구 계획은 다음과 같습니다.

• 재해복구팀 : 재해 복구 계획을 구현할 직접 책임자(DRI) 그룹을 지정합니다.
• 리스크 분석 : 이는 조직 내에서 무엇이 잘못될 수 있는지에 대한 준비와 인식에 도움이 됩니다. 예기치 않은 다운타임이나 재해 발생 시 위험과 조치 계획을 파악합니다.
• 규정 준수: 공격의 피해자라고 해서 데이터 규정 준수 규정에서 벗어나는 것은 아닙니다. 규정 준수 담당자는 조직이 보존 및 삭제 정책을 준수하고 규정 준수의 이유로 이전에 삭제하도록 계획된 민감한 데이터를 백업하지 않도록 보장할 수 있습니다.
• 비즈니스 영향 분석: 재해 발생 시 비즈니스 서비스에 미치는 잠재적 영향을 평가할 사람이 필요합니다. 가장 중요한 서비스를 더 일찍 백업 및 실행할 수 있습니다. 비즈니스 연속성에 가장 중요한 시스템, 애플리케이션, 데이터 및 자산을 식별하고 문서화하면 재해 복구 팀이 복구에 필요한 가장 효율적인 조치를 취하는 데 도움이 될 수 있습니다.
• 데이터 백업: 어떤 백업 전략과 기술을 사용하고 있는지에 따라, 가장 최근의 백업으로 돌아가 비즈니스 운영을 재개할 수 있습니다. RTO와 RPO는 백업 및 해당 서비스에 따라 달라집니다. 

지속적인 데이터 보호

점점 더 디지털화되는 세상에서 고객들은 기업이 다운타임이나 중단 없이 연중무휴 서비스를 제공할 수 있기를 기대합니다. 지속적인 백업이라고도 하는 지속적인 데이터 보호(CDP)는 현대적인 비즈니스 운영을 지원하는 데 필요한 지속적인 데이터 스트림을 백업하는 것입니다. 이를 통해 조직은 이전 시점으로 시스템을 복원할 수 있습니다. CDP의 목표는 궁극적으로 재해 발생 시 RTO와 RPO를 최소화하는 것입니다. 지속적인 실시간 백업을 활용하고 견고한 재해 복구 전략을 구현하면 CDP를 통해 비즈니스 연속성을 유지할 수 있습니다.

지금까지 재해 발생 시 데이터를 보호하고 비즈니스 연속성을 유지하기 위해 일반적으로 할 수 있는 일들을 다루었습니다. 그러나, 랜섬웨어라는 한 가지 유형의 재해가 증가하고 있습니다.

사이버 범죄자들은 항상 위협적이었지만, 과거의 핵티비스트들은 정치적, 문화적, 종교적 신념에 의해 동기를 부여받았지만, 오늘날의 사이버 범죄자들은 주로 재정적 이익에 의해 동기를 부여받았습니다. 해커가 몸값을 지불할 때까지 암호화를 통해 데이터를 차단하는 Ransomware는 이제 수백만 달러 규모의 산업입니다. 다운타임이 수익 손실로 직접 이어지는 세상에서는 그 대가로 비용을 지불하고 싶은 마음이 들지 않았습니다.

다음 섹션에서는 랜섬웨어 공격을 완화하기 위해 할 수 있는 일들을 다룹니다.

랜섬웨어 공격 방지

랜섬웨어와 싸우는 가장 좋은 방법은 랜섬웨어가 처음부터 발생하는 것을 방지하는 것입니다. 이는 시스템 전반의 가시성을 확보하고, 데이터 위생을 잘 실천하며, 위협을 파악한 후 이를 처리하기 위한 계획을 수립하는 것입니다.

• 로깅 및 모니터링: 로깅 및 시스템 모니터링 툴은 시스템을 한눈에 볼 수 있게 해주며, 모든 것이 원활하게 실행될 때 IT 인프라가 어떤 모습인지 이해하는 데 도움을 줍니다. 신속한 실시간 분석은 잠재적인 공격으로부터 벗어나는 이상(예: 의심스러운 IP 주소의 트래픽 급증) 및 기타 활동을 발견하는 데 도움이 될 수 있습니다.
• 데이터 위생: 해커가 멀웨어를 심을 때 패치되지 않은 운영 체제, 보안이 제대로 되지 않은 타사 툴 및 지저분한 데이터 관리와 같은 보안 취약점을 찾고 있습니다. 데이터 위생은 패치 관리, 시스템 구성 및 데이터 위생 관행을 구현하는 것을 의미합니다. 이러한 것들은 조직의 원활한 운영을 가능하게 할 뿐만 아니라, 잠재적인 해킹의 공격 표면을 크게 줄여줍니다.
• 운영 보안: 인간은 사이버 보안과 관련하여 종종 간과되는 취약점입니다. 다단계 인증, 관리 제어 및 데이터 계층화를 구현하면 데이터가 필요한 승인된 개인만 사용할 수 있습니다. 해커와 피싱 공격의 기술을 다루는 보안 인식 교육은 조직이 실제 시도를 쉽게 발견할 수 있도록 준비하는 데 도움이 될 수 있습니다.

랜섬웨어 공격 시 해야 할 일 

사이버 공격은 영화의 주인공만큼 실생활에서 분명하지 않습니다. 공격 자체는 파일에 액세스하고 네트워크를 통해 내부로 이동하며 파일을 암호화하고 백업을 삭제하는 데 30~40분 정도 걸릴 수 있습니다. 한편, 공격자는 액세스 권한을 확보한 후 오랫동안 네트워크에 지장을 줄 수 있으며, 실제 공격을 계획할 때 이상에 대한 대응을 모니터링합니다. 어느 쪽이든, 데이터에 대한 랜섬 노트를 수신할 때까지 공격이 이미 완료되었습니다.

랜섬웨어 공격이 발생하는 동안 이를 포착하는 유일한 방법은 (직원을 교육하여) 피싱 시도가 발생할 때 이를 인지하거나 SEIM 및 로그를 통해 네트워크에서 의심스러운 활동을 포착하는 것입니다. 이러한 선제적인 조치를 취하고 필요한 툴링을 갖추었다면, 사이버 사고 대응(CIR) 계획을 수립하여 비정상적인 활동을 발견했을 때 이를 처리할 수 있습니다. 모든 것을 문서화하고 관련 IT 담당자에게 알려 영향을 받는 시스템을 격리하고 피해를 완화합니다. 컴플라이언스 요구 사항을 충족하고, 해당 활동이 실제 랜섬웨어 공격으로 판명될 경우 사법 당국의 조사에 도움을 주기 위해 이러한 기록이 필요합니다. CIR 계획 작성에 대한 자세한 내용은 이 문서의 뒷부분에서 다룹니다.

랜섬웨어 공격 후 재해 복구

파일이 암호화되었고 랜섬웨어 메모를 받았습니다. 어떤 옵션이 있나요?

한 가지 옵션은 단돈돈만 지불하는 것이지만, 그렇게 하면 조직이 더 많은 갈취를 당할 위험이 있습니다.

이전 섹션에서 설명한 선제적 랜섬웨어 완화 단계를 따른 경우, 더 나은 옵션은 제거, 복구 및 대응입니다.

• 공격자가 데이터에 액세스할 수 있도록 해준 취약점을 제거하세요. 손상된 하드웨어와 소프트웨어는 즉시 네트워크에서 격리 및 분리되어야 합니다. 백도어나 기타 멀웨어가 남아 있지 않은지 확인하기 위해 시스템 및 네트워크 감사를 수행해야 합니다. 백업 데이터를 복원하고 가동하기 전에 시스템을 소독하는 것이 중요합니다.
• 백업 및 복구 계획을 활용하여 데이터를 복구하세요. 사이버 사고가 발생하기 직전에 스냅샷과 재해 복구 인프라가 마련되어 있기를 바랍니다. 방어팀은 공격자들이 뒤처지지 않도록 소독된 가상 환경 내에서 백업 데이터에 대한 포렌식 분석을 수행해야 합니다. 시스템을 롤백할 수 있는 무제한 복구 지점을 찾고 계십니다. 
• 기록을 검토하고, 시스템을 감사하며, 공격의 성격을 문서화하기 위한 조치를 취함으로써 공격에 적절히 대응합니다. 규정을 준수하기 위해 데이터 침해에 대해 고객에게 알려야 할 수 있으며, 조직이 공격에 대응하는 데 필요한 모든 것을 수행했음을 로그에서 입증해야 합니다. 공격으로부터 얻은 정보는 법 집행 기관이 가해자를 추적하고 향후 공격으로부터 시스템을 보호하는 데 도움이 될 수 있습니다.

데이터 웨어하우스에 대해 Ransomware 완화 및 복구를 위한 해커 가이드

사이버 사고 대응 계획은 사이버 공격 시 직원이 따라야 하는 세부 사항을 설명하는 공식 문서입니다. 이는 또한 결제 카드 산업 데이터 보안 표준(PCI DSS) 요건이기도 합니다. 사이버 사고 대응 계획은 일반적으로 다음과 같은 6단계로 구성됩니다. 

1. 준비

이 단계에서는 사이버 사고 발생 시 따라야 할 단계, 역할 및 절차를 설명합니다. 사이버 사고에 대응할 역할과 책임이 명확하게 정의된 개인 팀을 준비시킵니다. 또한 모의 데이터 침해와 같은 훈련 시나리오를 통한 직원 교육을 통해 이러한 역할과 절차를 테스트하는 것도 다룹니다. 

2. 식별

이 단계에서는 비정상적인 사이버 이벤트의 탐지 및 포렌식 분석을 통해 침해가 발생했는지 여부 및 사고의 심각도를 판단합니다. 

• 어떤 데이터가 노출되었습니까? 
• 어떻게 발견되었나요? 
• 누가 사고를 발견했습니까?
• 누구에게 영향을 미칩니까?

사고의 범위와 심각도는 효과적으로 해결되기 전에 문서화하고 분석해야 합니다. 시스템 및 네트워크 로그는 침해에 즉시 대응하고 보안 사고가 발생한 후 보안 사고의 중요한 세부 정보를 파악하는 데 핵심이 될 수 있습니다.

데이터 웨어하우스에 대해 Ransomware의 공격을 받았습니다. 이제 어떻게 해야 할까요?

3. 격납

사이버 사고 발생 시, 봉쇄 단계는 추가 피해를 방지하고 위험을 완화하기 위해 취한 조치를 명시합니다. 봉쇄는 일반적으로 인터넷에서 영향을 받는 장치의 연결을 해제하고 비활성화하는 단계를 포함합니다.

4. 박멸

위협이 억제되면 보안 전문가가 이를 분석하여 사고의 근본 원인을 파악하고 위협을 제거할 수 있습니다. 멀웨어 제거, 보안 패치 및 기타 조치는 근절 단계에서 약술되어야 합니다. 

5. 복구

복구 단계에는 영향을 받는 시스템과 디바이스를 다시 생산으로 복구하기 위한 단계와 절차가 포함됩니다. 침해 시 미션 크리티컬 서비스를 복구하기 위해 중복 백업, 스냅샷 및 재해 복구 계획을 구현할 수 있습니다. 또한, 이벤트 직후 온라인 상태로 돌아갈 수 있는 “사전 구축된” 방법을 제공하는 단계적 복구 환경이 있어야 합니다. 

6. 배운 교훈

사이버 보안은 지속적인 프로세스입니다. 사이버 침해 사고로부터 수집한 정보와 교훈을 수집하고 이를 보안 프로토콜 및 침해 사고 대응 계획 자체를 강화하는 데 적용하는 것이 중요합니다.
 

데이터 침해의 “중”에 대한 자세한 6-Point 계획 확인

이 가이드에서는 재해 발생 시 데이터를 보호하고 비즈니스 연속성을 유지하기 위해 사용할 수 있는 다양한 도구, 전략 및 기술을 살펴보았습니다. 결국, 데이터는 관리하는 데 사용하는 인프라만큼만 안전합니다. 

퓨어스토리지 퓨어스토리지 ® 제품은 현대적 데이터 보호를 염두에 두고 처음부터 설계됩니다. 퓨어스토리지가 개발한 현대적인 데이터 보호 솔루션의 예는 다음과 같습니다.

• 플래시블레이드(FlashBlade) ® 빠른 복구: 프로덕션 및 테스트/개발 환경에 시간당 270TB의 데이터 복구 성능을 제공합니다. 
• ActiveDR™: Purity에 내장된 ActiveDR은 새로운 쓰기와 관련 스냅샷 및 보호 스케줄을 모두 포함하는 강력한 비동기 복제를 통해 거의 제로에 가까운 RPO를 제공합니다. 
• 퓨리티 액티브클러스터 ™: RPO 제로를 위한 동기식 복제는 이 진정한 양방향 active-active티브 메트로 스트레치 클러스터에서 RTO 제로를 위한 투명한 페일오버를 충족합니다. 
• SafeMode ™ 스냅샷: SafeMode 스냅샷은 FlashArray ™ 및 플래시블레이드(FlashBlade)에 내장된 랜섬웨어 보호 솔루션입니다. 스냅샷은 변경할 수 없으므로 랜섬웨어 공격 시 데이터를 복구할 수 있습니다.

현대적인 데이터 위협에는 현대적인 데이터 보호 솔루션이 필요합니다. 퓨어스토리지를 통해 데이터를 저장하는 것은 조직의 성능, 안정성 및 보안을 보장하는 가장 좋은 방법입니다.