빔 소프트웨어의 2023년 데이터 보호 트렌드 리포트에 따르면 지난 12개월 동안 85% 기업이 한 차례 이상의 사이버 공격을 경험했으며, 이는 전년도의 76% 대비 크게 증가한 수치이다.
외부 리서치 기관을 통해 2022년에 랜섬웨어 공격을 한 번 이상 받은 경험이 있는 IT 리더 1,200명(APJ 지역 250명 포함)을 대상으로 블라인드 설문조사를 실시했다.
작년에 이어 두 번째로 실시된 이 연간 조사는 사이버 공격을 경험한 조직들과 보안 전문가, CISO 또는 기타 IT 임원, IT 운영 담당자, 백업 관리자들을 대상으로 이루어졌다.
◇IT 보안을 위한 협력 중요... 기업 내 협력은 부족
많은 기업이 “랜섬웨어는 재해”라고 말하며 자사의 비즈니스 연속성 또는 재해 복구(BC/DR) 프로그램에 사이버 보안 계획을 포함시키지만, 팀 간의 실제 상호 작용 방식을 보면 아직 부족한 부분이 많다.
61%는 사이버 팀과 백업 팀 간에 ‘상당한 개선’이나 ‘전면적인 개편’이 필요, 19%는 리스크 관리 프로그램이 잘 작동하고 있다고 답했으며, 나머지는 개선을 모색 중이거나 아직 프로그램이 없다고 답했다.
또한 2023년에는 사이버(예방) 예산이 5.6% 증가했고, 백업(복구) 예산은 5.4% 증가했다고 답했다.
◇점점 어려워지는 사이버 보험 가입
전 세계적으로 몸값의 77%가 보험으로 지불됐으며, APJ 지역 사이버 피해자의 74%가 보험을 통해 몸값을 지불했다. 그러나 사이버 보험은 더욱 까다롭고 비싸지고 있으며, 기업의 40%가 보험의 보장 항목에 랜섬웨어가 포함돼 있지 않다고 답했다.
사이버 보험 가입자들은 지난 보험 갱신에서 66%가 보험료 인상 경험, 56%가 공제액 증가 경험, 12%가 보장 혜택 감소 경험이 있다고 답했다.
◇몸값 지불이 데이터 복구를 보장하지 않아
대부분의 응답자가 몸값을 지불했지만, 실제로는 회사 경영진이나 정부 규제에 따라 ‘몸값을 지불하지 않는다’는 방침을 가지고 있는 경우가 많았다. 하지만 몸값을 지불한다고 해서 복구가 가능하다는 보장은 없다.
48%는 몸값을 지불하고 데이터를 복구, 32%는 몸값을 지불했지만 데이터를 복구하지 못함, 18%는 백업으로 데이터를 복구했기 때문에 몸값을 지불하지 않은 것으로 조사됐다.
몸값을 지불하지 않고도 복구가 가능했던 기업은 16%에 불과했다. 이는 작년의 19%보다도 더 감소한 수치이다.
◇몸값 지불하지 않으려면 백업 생존성이 중요
랜섬웨어 공격의 93% 이상은 백업 저장소를 노렸다.
82%의 기업이 공격 중에 백업 저장소 중 일부 손상, 37% 사이버 공격자가 백업 솔루션에 피해를 입힌 경우, 백업 저장소의 37%가 손실됨된 것으로 조사됐다.
◇생존 가능한 백업의 비결은 ‘불변성’
백업 자격 증명, 사이버 탐지 스캔 자동화, 백업 복구 가능 여부 자동 확인 등 다른 좋은 방안도 많지만, 핵심 전략은 백업 저장소를 삭제하거나 손상시킬 수 없도록 하는 것이다. 이는 ‘불변성’으로서 데이터 보호 수명주기 전반에 걸쳐 적용될 수 있다.
82%의 기업이 변경 불가능한 클라우드 저장소 사용, 64%의 기업이 변경 불가능한 디스크 스토리지 사용한다고 답했다.
생존 가능한 매체의 경우, 드라이브에서 분리해 선반에 보관하는 테이프 카트리지만큼 에어 갭(air gap)이 강력한 미디어는 찾아보기 어렵다. 실제로 데이터 보호 전략의 일정 시점에서는 데이터의 47%가 아직도 테이프에 기록되고 있다.
◇ 복구 가능성의 비결은 ‘이동성’
다른 재해(화재, 홍수, 태풍)와 마찬가지로 중요한 문제는 ‘어디로 복구할 것인가’ 하는 점이다. 프로덕션 서버가 손상된 경우 새로운 서버가 필요하다는 의미이다. 대규모 기업은 ‘콜드’ 서버가 대기 중인 여러 데이터센터를 보유하고 있을 수 있지만, 그렇지 않은 기업도 많다. 따라서 대부분의 응답자가 하이브리드 계획을 마련하고 있는 것을 쉽게 유추할 수 있다.
74%의 기업이 클라우드 호스팅 인프라 또는 DRaaS로 복구할 계획, 73%의 기업이 데이터센터 내 서버로 복구할 계획이라고 답했다.
◇복구 중 재감염 방지
‘해를 끼치지 말라’는 의료계의 모토처럼, 복구 중에 멀웨어나 사이버 공격에 감염된 데이터를 프로덕션 환경에 재유입하지 않겠다는 마음가짐을 가져야 한다. 다른 재해가 발생한 경우 백업, 복제본 및 스냅샷의 데이터는 즉시 복구를 시작할 수 있다. 사이버 전쟁이 복잡하고 까다로운 이유 중 하나는 몸값 요구를 받기 직전의 데이터도 손상돼 있을 가능성이 높다는 것이다.
따라서 복구 프로세스 중에 데이터를 철저히 검사하는 것이 중요하다고 할 수 있다.
데이터 보호 솔루션이 통합형 탐지 기술(백업, 복구 또는 둘 다)과 더불어 스테이징 또는 샌드박스를 제공하는지 여부가 중요하다.
설문조사에 참여한 랜섬웨어 피해자에게 질문한 결과, 44%는 프로덕션에 재도입하기 전에 먼저 격리된 테스트 영역 또는 샌드박스로 복구, 35%는 프로덕션으로 복구한 후 즉시 스캔, 12%는 복구 후 거동만 모니터링, 9%는 재감염을 예방할 수 있는 수단이 없었다로 조사됐다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
