만약 랜섬웨어 공격을 당했다면, 가장 확실한 방법은 ‘3-2-1 백업 법칙’을 철저히 준수하고, 운영 환경과 네트워크적으로 완전히 분리된 ‘에어갭(Air-Gap)’ 저장소에 데이터를 보관하며, 백업 데이터의 무결성을 주기적으로 자동 검증하는 것입니다.
1. 랜섬웨어 공격 직후 초기 대응 및 격리 프로토콜
랜섬웨어 공격 발생 시 가장 중요한 것은 골든타임 내에 피해 확산을 막는 것입니다. 이 단계에서는 감정적인 대응을 배제하고, 사전에 수립된 비상 대응 계획(IRP)에 따라 움직여야 합니다. 초기 대응팀은 즉시 네트워크 전반의 트래픽을 모니터링하고, 감염된 시스템의 전원을 차단하여 추가적인 데이터 유출 및 암호화 확산을 막아야 합니다.
핵심은 ‘격리(Containment)’입니다. 감염된 네트워크 세그먼트를 즉시 분리하고, 백업 시스템 접근 경로에 대한 접근 제어 목록(ACL)을 강화해야 합니다. 이 과정에서 모든 조치는 로그로 기록되어야 하며, 향후 포렌식 분석의 기초 자료가 됩니다. 시스템을 재가동하기 전에는 반드시 악성코드의 진원지와 전파 경로를 파악하는 것이 선행되어야 합니다.
2. 백업 시스템의 무결성 검증 (Integrity Check)
백업 데이터가 가장 신뢰할 수 있는 자산이지만, 이 백업 데이터 자체가 랜섬웨어에 감염되었을 가능성을 배제할 수 없습니다. 따라서 백업 시스템의 무결성 검증은 최우선 순위입니다.
최근 공격 트렌드는 백업 시스템 자체를 목표로 삼는 ‘블루밍(Blooming)’ 공격입니다. 따라서 백업 데이터는 네트워크와 물리적으로 분리된 오프라인 저장소(Offline Storage)에 보관되어야 합니다. 또한, 백업 데이터가 실제로 복구 가능한지 주기적으로 ‘테스트 복구(Test Restore)’를 수행하여, 데이터의 가용성(Availability)과 무결성(Integrity)을 동시에 검증해야 합니다.
3. 백업 아키텍처 설계: 3-2-1 규칙의 적용
안정적인 데이터 복구를 위해서는 ‘3-2-1 규칙’을 철저히 준수해야 합니다. 즉, 데이터를 최소 3개의 복사본으로, 2가지 다른 매체에 저장하고, 그중 1개는 물리적으로 원격지에 보관해야 합니다.
여기에 더해, 불변성(Immutability)을 갖춘 스토리지 솔루션을 도입하는 것이 필수적입니다. 불변 스토리지에 저장된 데이터는 설정된 기간 동안 외부의 쓰기(Write) 또는 삭제(Delete) 작업으로부터 보호되므로, 랜섬웨어에 의한 무차별적인 데이터 파괴로부터 안전합니다.
4. 취약점 관리 및 패치 관리의 자동화
공격의 대부분은 알려진 취약점을 통해 발생합니다. 따라서 패치 관리 프로세스는 수동적이고 주기적인 점검에 의존해서는 안 됩니다.
엔드포인트 탐지 및 대응(EDR) 솔루션을 도입하여 알려지지 않은 위협(Zero-day)에 대한 실시간 탐지 능력을 확보하고, 모든 운영체제 및 애플리케이션에 대한 보안 패치가 자동화된 방식으로 배포되도록 시스템을 구축해야 합니다. 취약점 점검은 정기적일 뿐만 아니라, 새로운 취약점 정보가 공개될 때마다 즉각적으로 반영되어야 합니다.
5. 복구 계획 수립 및 모의 훈련 (Drills)
아무리 완벽한 백업 시스템과 방어 체계를 갖추더라도, 실제 위기 상황에서는 인간의 판단과 훈련이 가장 중요합니다. 따라서 연 1회 이상 전사적인 ‘랜섬웨어 대응 모의 훈련’을 실시해야 합니다.
이 훈련은 단순히 기술적인 복구 과정만을 점검하는 것이 아니라, 경영진의 의사결정 과정, 법무팀의 대외 공지 절차, 그리고 이해관계자들과의 커뮤니케이션 계획까지 포함하는 전방위적인 시뮬레이션이 되어야 합니다. 훈련을 통해 발견된 병목 구간과 의사결정 지연 요소를 사전에 제거하는 것이 궁극적인 목표입니다.