자료실

랜섬웨어 복구 경험에서 얻은 교훈 – 2부



랜섬웨어 복구 경험에서 얻은 교훈 – 2부 

지난 포스팅에서는 랜섬웨어 공격으로부터 성공적으로 AD(Active Directory)를 복구한 글로벌 제조 업체의 사례를 조명했습니다. 그럼 이번 포스팅에서는 본격적으로 이 사례를 통해 얻을 수 있는 교훈 6가지를 정리해보도록 하겠습니다.


교훈 1 : AD 백업을 상호 격리할 것

백업이 손상되면 백업에서 복원도 할 수 없다는 것은 명백한 진리입니다. 많은 랜섬웨어 공격은 기업이 데이터 복원을 위해 몸값을 지불해야 할 가능성을 극대화하기 위해 네트워크로 연결된 백업을 적극적으로 찾아서 파괴하는 이유입니다.


따라서 신뢰할 수 있는 AD 백업을 정기적으로 수행하는 것 외에 각 백업을 격리된 스토리지에 보관하는 것이 필수적입니다. 격리된 스토리지란 오프라인, 즉 네트워크로 연결되지 않아 인터넷 및 내부 네트워크에서 접근할 수 없는 스토리지를 의미합니다.


전통적인 솔루션은 테이프에 백업을 쓴 다음 Iron Mountain과 같은 오프사이트 스토리지 시설로 보내는 것이었습니다. 그러나 이 방법은 성가시고 비용이 클 뿐만 아니라 복구 속도도 매우 느립니다. 테이프를 회수해서 수송하고 마운트해서 읽기까지 상당한 시간이 소요되기 때문입니다. 이러한 지연으로 인해 복구 시간 목표(RTO)를 충족하기가 매우 어려울 수 있으므로 오프사이트 물리적 스토리지를 사용하는 경우 SLA를 신중하게 점검하는 편이 현명합니다. 현재 많은 조직이 백업 저장 용도로 클라우드 솔루션을 모색하고 있습니다. 기업이 선택할 수 있는 옵션으로 Amazon Simple Storage Service(Amazon S3)와 S3 Glacier 및 S3 Glacier Deep Archive, 그리고 Microsoft의 변경 불가한 Azure Blob Storage가 있습니다.


그러나 RMAD DRE를 사용하면 별도의 스토리지 솔루션이 필요 없습니다. 이 솔루션은 버전 10.2부터 접근을 사실상 허용하지 않는 강력한 방화벽이 적용된 서버인 Secure Storage 서버를 포함합니다. 핑(ping), RDP, PC, 원격 데스크탑, SMB 공유 모두 불가능합니다. Secure Storage 서버에서 SMB 포트는 꺼져 있을 뿐만 아니라 비활성화되어 있습니다. 유일한 접근 경로는 TLS로 암호화되는 하나의 설정 가능한 TCP 포트입니다. 이 TLS 포트는 백업이 생성되어 티어 1 스토리지로 전송될 때 스토리지 에이전트에 이를 알려 에이전트가 백업 자체를 수집할 수 있도록 하는 데 사용됩니다. 이는 방화벽을 내릴 필요가 없음을 의미합니다. 또한 이 솔루션은 각 백업의 무결성도 검사합니다.


백업을 꺼내려면 물리적으로 데이터센터에 들어가서 콘솔에 로그인해야 합니다. 물리적 접근은 다소 불편할 수 있지만 이를 통해 랜섬웨어 공격자의 백업 손상을 사실상 불가능하게 할 수 있습니다. RMAD DRE는 이 안전한 백업을 사용해서 Active Directory를 새로운 서버로 복구함으로써 신속한 복구를 가능하게 해줍니다.

그림 1. RMAD DRE의 Secure Storage 서버는 랜섬웨어로부터 AD 백업을 보호하기 위한 격리된 스토리지를 제공합니다. 



교훈 2. 랜섬웨어 공격에 대비해 계획하고 계획을 테스트할 것!

포리스트 복구는 백업에서 복원하는 DC당 40개 이상의 단계로 구성된 복잡하고 난해한 과정입니다. 따라서 자동화된 솔루션과 문서화된 계획을 두고 정기적으로 테스트하는 것이 현명합니다. 이 계획은 랜섬웨어 공격 이후의 AD 복구를 구체적으로 다뤄야 합니다. 많은 조직이 애플리케이션 복구에만 초점을 맞추는 실수를 저지릅니다. 복구 계획은 애플리케이션을 실행할 도메인 컨트롤러가 없는 상황을 전제해야 합니다.



한 명의 책임자와 명확한 책임 규정을 둘 것

복구 과정에는 다음과 같은 여러 팀이 관여합니다.

- 백업 팀: 백업을 제공하고 복원을 수행

- 스토리지 팀: 백업에서 서버를 복원하기에 충분한 스토리지 용량 확보

- 네트워크 팀: 복원되는 서버가 샌드박스되도록 하고 DC가 통신할 수 있도록 함

- 서버 팀: 복원이 올바르게 완료되었는지 검증하고, 필요한 추가 안티바이러스 또는 안티맬웨어 소프트웨어 설치

- 보안 팀: 복원된 서버에 랜섬웨어가 없는지 확인

- 애플리케이션 팀: 애플리케이션의 정상 작동 확인

- 외부 관계자: 마이크로소프트, 백업 및 복구 벤더 및 클라우드 스토리지 제공업체


이러한 모든 팀을 지휘하고 조율하면서 즉석에서 의사 결정을 내릴 수 있는 한 명의 책임자를 두는 것이 필수적입니다. 또한 모든 역할과 책임을 명확하게 문서화해야 합니다.


가상 워룸 운영

랜섬웨어 플레이북에는 위의 각 팀이 모일 수 있는 가상 워룸도 포함되어야 합니다. 또한 하위 그룹들이 특정 문제에 대한 전략을 마련하기 위해 별도의 가상 룸으로 분리해 나갈 수 있도록 해야 합니다. Zoom과 Microsoft Teams 팀즈를 사용할 수 있으며 Teamflow 앱도 괜찮습니다.


계획을 AD 복구로 한정하지 말 것

랜섬웨어 공격을 받을 경우 AD 복구 외에도 해야 할 일이 있다는 것을 기억해야 합니다. 네트워크, 라우터, 스위치 등에 미치는 영향을 고려하십시오. 또한 VPN 컨센트레이터가 디렉터리와 통신하는 방법에 대해서도 생각해야 합니다. 아울러 보안 강화와 엔드포인트 탐지 및 대응 소프트웨어를 통해 서버 보안을 높이는 방안도 생각해야 합니다.


계획에 대한 접근성을 확보할 것

상상할 수 있는 가장 심각한 랜섬웨어 공격을 받은 상황에서도 접근할 수 있는 장소에 계획을 저장하십시오. 계획을 인쇄해 보관하는 것은 검증된 방법입니다. Dropbox와 같은 별도의 클라우드 스토리지에 저장하는 방법도 있습니다.


교훈 3. 단계별 복구를 고려할 것

앞서 언급했듯이, 한 글로벌 제조 기업은 단계별 복구를 수행했습니다. 가장 중요한 DC를 먼저 복구해서 불완전하게나마 신속하게 비즈니스를 복구할 수 있었습니다.


어느 애플리케이션이 비즈니스 운영에 가장 중요한지를 파악해서 해당 애플리케이션을 가장 먼저 복원하는 데 집중할 수 있도록 하십시오. 그런 다음 이러한 애플리케이션을 위해 필수적인 DC를 파악하십시오. 많은 경우 핵심 도메인 컨트롤러는 원격 사무실이 아닌 데이터 센터에 있는 도메인 컨트롤러입니다. 이 DC를 복구하면 AD 팀이 덜 중요한 DC 복원으로 전환하는 사이 애플리케이션 팀, 데이터베이스 팀 및 기타 팀은 복구 프로세스를 시작할 수 있습니다. 그림 2는 단계별 복구 전략을 보여줍니다.


그림 2. 단계별 복구는 필수적인 비즈니스 프로세스를 신속하게 온라인으로 복구하는 데 도움이 될 수 있습니다.


교훈 4. 속도가 전부는 아닙니다

단, 랜섬웨어 복구에서 속도가 전부가 아니란 점을 기억하십시오. 제대로 복구해서 재감염되지 않도록 하는 것도 마찬가지로 중요합니다. RMAD DRE는 각 DC를 복원하는 최선의 방법을 선택할 수 있는 유연함을 제공함으로써 위험을 줄일 수 있게 해줍니다.

- 베어 메탈 복구(BMR) – DC의 모든 볼륨을 새 하드웨어 또는 다른 하드웨어로 복구합니다.

- 클린 OS로 복원 – 재감염 위험을 낮추면서 AD를 새 Windows Server로 복원합니다.

- AD 설치 – 백업에서 복원하지 않은 DC 역할을 대체하도록 새 서버를 승격합니다.

- AD 제거 – DC를 강제 강등하고 디렉터리에서 이 DC에 대한 모든 메타데이터를 제거합니다.

- AD 재설치 – 운영체제가 여전히 정상 상태인 DC를 강제 강등하고 다시 승격합니다.

- 백업에서 AD 복원 – 정상 서버로 AD를 복원합니다.

- 재승격 – 남은 DC를 부분적으로 복구된 포리스트로 승격합니다.


복구 옵션을 선택할 때 BMR의 경우 타겟 머신의 물리적 디스크 레이아웃이 백업을 취한 DC와 동일해야 한다는 점에 유의하십시오. 또한 백업에는 부팅 볼륨과 같이 복원 작업에 불필요한 구성요소도 포함되어 랜섬웨어에 숨어서 재감염을 시도할 수 있는 풍부한 장소를 제공한다는 점에도 유의해야 합니다.


RMAD DRE의 클린 OS로 복원하기 옵션을 사용하면 필요한 정보만 백업에 포함되므로 이 위험이 대폭 감소됩니다(그림 3 참조). 또한 RMAD DRE는 백업이 복구에 사용되기 전에 백업에서 맬웨어를 스캔하고, 복구 작업 동안 내장된 특권 그룹의 멤버 암호를 재설정할 수 있습니다. 또한 RMAD DRE를 사용하면 Microsoft Azure 가상 머신에 AD를 복원할 수 있습니다. 이렇게 하면 즉시 사용 가능하고 안전하며 맬웨어가 없음을 신뢰할 수 있는, 비용 효과적인 머신에 AD를 복원한다는 확신을 가질 수 있습니다.


그림 3. RMAD DRE의 클린 OS로 복원하기 옵션은 복원 프로세스 중의 감염 위험을 크게 낮춰줍니다.


오늘날 모든 조직은 주요 도메인 컨트롤러를 신속하게 복구하고 비즈니스를 빠르게 원상 복구할 수 있게 해주는 포괄적인 랜섬웨어 전략을 마련해야 합니다. Recovery Manager for Active Directory Disaster Reco

very Edition은 이 전략에서 가치 있는 구성 요소가 될 수 있습니다. 이 솔루션은 한 글로벌 제조 기업이 5개의 가장 중요한 DC를 2시간 내에 복구하여 핵심 운영을 재개하기 위한 주요 애플리케이션 및 데이터베이스 복원에 착수할 수 있게 해주었습니다.


랜섬웨어 감염으로부터 안전한 복구를 원하신다면, 언제든 퀘스트소프트웨어 코리아로 문의주시기 바랍니다.


퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB