"백업을 해뒀으니 안심이다"—이 믿음이 무너지는 순간이 있습니다. 최근 랜섬웨어 공격의 가장 위험한 트렌드 중 하나는 백업 서버와 저장소 자체를 표적으로 삼는 것입니다. 공격자는 먼저 네트워크에 침투한 뒤 백업 시스템의 관리자 계정을 탈취하고, 온라인 백업 데이터를 암호화하거나 삭제한 다음, 마지막으로 운영 서버를 잠급니다. 피해 기업은 복구 수단까지 잃어버려 결국 몸값 지불 외에 선택지가 사라지게 됩니다.
보안 전문가들은 이 문제에 대한 근본적인 해답으로 에어갭(Air-gap) 백업을 꾸준히 권고하고 있습니다. 에어갭이란 백업 데이터를 네트워크에서 물리적 또는 논리적으로 완전히 격리하여, 어떤 경로로도 온라인 공격이 닿을 수 없게 만드는 전략입니다. 과거에는 테이프 라이브러리를 금고에 보관하는 방식이 대표적이었지만, 현재는 클라우드 기반 에어갭과 불변(Immutable) 스토리지 기술이 결합되어 중소기업도 합리적인 비용으로 도입할 수 있는 시대가 되었습니다.
이 글에서는 에어갭 백업의 정확한 개념, 왜 기존 백업만으로는 부족한지, 그리고 중소기업 환경에서 실제로 어떻게 에어갭 백업을 구성할 수 있는지를 단계별로 설명합니다.
에어갭 백업의 핵심 개념: 왜 '격리'가 답인가
에어갭(Air Gap)은 원래 군사·정보기관에서 극비 네트워크를 외부 인터넷과 물리적으로 분리하는 보안 전략에서 유래한 용어입니다. 백업에 적용하면 백업 데이터가 저장된 매체 또는 저장소가 운영 네트워크와 상시 연결되어 있지 않은 상태를 의미합니다. 공격자가 사내 네트워크를 완전히 장악하더라도, 에어갭으로 격리된 백업에는 네트워크 경로 자체가 존재하지 않으므로 암호화하거나 삭제할 수 없습니다.
에어갭은 크게 세 가지 형태로 구현됩니다.
- 물리적 에어갭: 테이프, 외장 디스크, RDX 카트리지 등 이동식 매체에 백업 후 네트워크와 분리된 장소(금고, 외부 보관소)에 보관합니다. 가장 확실한 격리이지만 복구 시간이 길고 관리 인력이 필요합니다.
- 논리적 에어갭: 네트워크는 연결되어 있으나, 백업 전송이 끝나면 연결을 자동으로 차단하거나, 별도의 인증·방화벽·VLAN 정책으로 접근을 원천 차단합니다. 자동화가 가능하면서도 높은 수준의 격리를 제공합니다.
- 클라우드 기반 에어갭: 백업 데이터를 외부 클라우드 저장소에 전송하되, 불변 스토리지(Immutable Storage) 정책을 적용하여 지정된 보존 기간 동안 누구도—관리자 계정이 탈취되더라도—데이터를 수정하거나 삭제할 수 없게 만듭니다. 현대적 에어갭의 주류 방식으로 자리잡고 있습니다.
에어갭의 본질은 '연결되지 않는 것'입니다. 네트워크 공유 폴더에 저장한 백업, NAS에 상시 마운트된 백업 볼륨은 아무리 비밀번호를 걸어도 에어갭이 아닙니다. 랜섬웨어는 네트워크 경로를 타고 이동하기 때문에, 경로 자체를 없애는 것이 핵심입니다.
기존 백업 방식이 랜섬웨어에 무력한 3가지 이유
많은 중소기업이 NAS, 외장 하드, 또는 네트워크 공유 폴더에 백업을 수행하고 있습니다. 이 방식이 랜섬웨어 앞에서 왜 무력해지는지 구체적으로 살펴보겠습니다.
1. 네트워크 연결 상태의 백업 저장소
백업 대상 서버와 백업 저장소가 같은 네트워크에 있고, SMB/NFS 등으로 상시 마운트되어 있다면, 랜섬웨어는 운영 데이터를 암호화하는 것과 동일한 방식으로 백업 파일도 암호화합니다. 공격자는 침투 후 네트워크 스캔을 통해 백업 저장소를 반드시 찾아냅니다.
2. 관리자 계정 탈취
최근 공격은 단순 암호화에 그치지 않습니다. Active Directory 관리자 계정을 탈취한 후, 백업 소프트웨어 콘솔에 로그인하여 백업 작업 삭제, 보존 정책 변경, 기존 백업본 삭제를 수행합니다. 백업 소프트웨어의 접근 제어가 AD 인증에만 의존하고 있다면 무방비 상태가 됩니다.
3. 백업 무결성 검증 부재
백업은 있지만 실제로 복구가 되는지 테스트하지 않는 기업이 대다수입니다. 랜섬웨어가 천천히 백업 데이터를 손상시키는 '슬리핑(sleeping)' 기법을 쓰면, 수주~수개월 뒤에야 백업 자체가 이미 오염되었다는 사실을 알게 됩니다.
| 비교 항목 | 일반 네트워크 백업 | 에어갭 백업 (클라우드 불변 스토리지) |
|---|---|---|
| 네트워크 격리 | 없음 (상시 연결) | 전송 완료 후 논리적 격리 + 불변 정책 |
| 관리자 계정 탈취 시 위험 | 백업 삭제·변조 가능 | 불변 보존 기간 내 삭제·변조 불가 |
| 랜섬웨어 암호화 대상 | 백업 파일 포함 | 격리된 백업은 공격 경로 밖 |
| 복구 시간(RTO) | 빠름 (로컬 저장) | 클라우드 다운로드 시간 필요 (수 시간) |
| 초기 도입 비용 | 낮음 | 중간 (구독형으로 분산 가능) |
| 운영 복잡도 | 낮음 | 중간 (정책 설정 필요) |
| 재해 복구(DR) 효과 | 제한적 (화재·수해 시 동반 소실) | 지리적 분리로 재해 복구 가능 |
"NAS에 별도 계정으로 백업하면 안전하다"는 오해가 있습니다. NAS가 같은 네트워크 세그먼트에 있고, 랜섬웨어가 관리자 권한을 획득한 상태라면 NAS 역시 공격 대상이 됩니다. 별도 계정은 속도를 늦출 뿐, 근본적인 해결책이 아닙니다.
에어갭 백업 실전 구성: 중소기업을 위한 단계별 가이드
대기업이 아니더라도 에어갭 백업을 구현할 수 있습니다. 중소기업 환경에 맞춘 현실적인 구성 방법을 단계별로 안내합니다.
- 3-2-1 백업 원칙 재점검
최소 3개의 백업 복사본을, 2가지 다른 매체에, 1개는 외부(오프사이트)에 보관하는 것이 기본 원칙입니다. 에어갭 백업은 이 '1개 외부 복사본'을 더 확실하게 보호하는 전략입니다. 현재 백업 구성이 이 원칙을 충족하는지 먼저 점검하세요. - 에어갭 유형 선택
직원 50명 이하의 소규모 기업이라면 클라우드 기반 불변 스토리지가 가장 현실적입니다. 자체 테이프 라이브러리를 운영할 인력이 없고, 외장 디스크를 수동으로 분리·보관하는 것은 사람의 실수(human error)에 취약하기 때문입니다. 클라우드 에어갭은 자동화가 가능하고, 보존 정책을 소프트웨어로 강제할 수 있습니다. - 불변(Immutable) 보존 정책 설정
클라우드 백업 저장소에 불변 보존 기간을 설정합니다. 예를 들어 30일 불변 정책을 적용하면, 해당 기간 동안 관리자 계정으로 로그인하더라도 백업 데이터를 삭제하거나 변경할 수 없습니다. Acronis Cyber Protect Cloud는 이러한 불변 스토리지 기능을 클라우드 백업에 통합하여 제공하는 것으로 알려져 있습니다. - 백업 전용 네트워크 세그먼트 분리
로컬 백업 서버가 있다면, 운영 네트워크와 별도의 VLAN에 배치하고, 방화벽 규칙으로 백업 트래픽만 허용합니다. 백업 서버의 관리 포트(SSH, RDP 등)는 운영 네트워크에서 직접 접근할 수 없도록 차단합니다. - 백업 전용 관리자 계정 분리
백업 시스템 관리자 계정은 Active Directory와 분리된 독립 계정을 사용합니다. MFA(다중 인증)를 반드시 적용하고, 이 계정의 비밀번호는 일반 IT 관리 계정과 완전히 다르게 설정합니다. - 정기적 복구 테스트
분기 1회 이상 에어갭 백업에서 실제 복구 테스트를 실행합니다. 테스트 없는 백업은 보험료만 내고 보험금 청구 방법을 모르는 것과 같습니다. 복구에 소요되는 시간(RTO)과 데이터 최신성(RPO)을 측정하고 기록으로 남깁니다.
클라우드 에어갭의 진화: 불변 스토리지와 AI 기반 탐지의 결합
현대적 에어갭 백업은 단순 격리를 넘어서 능동적 방어까지 포함하는 방향으로 진화하고 있습니다. 핵심은 두 가지 기술의 결합입니다.
첫째, 불변 스토리지(Immutable Storage)입니다. 한 번 기록된 백업 데이터에 대해 WORM(Write Once Read Many) 정책을 적용하여, 설정된 보존 기간이 끝나기 전까지는 어떠한 권한으로도 삭제·수정이 불가능합니다. 이는 관리자 계정이 탈취되는 최악의 시나리오에서도 백업 데이터의 무결성을 보장합니다. 한국의 개인정보보호법과 전자금융거래법에서도 중요 데이터의 보존과 무결성 유지를 요구하고 있어, 불변 스토리지는 컴플라이언스 측면에서도 의미가 있습니다.
둘째, AI 기반 이상 행동 탐지입니다. 백업 과정에서 데이터의 변경 패턴을 분석하여, 랜섬웨어에 의한 대량 암호화가 의심되는 경우 경고를 발생시키고 해당 백업을 격리합니다. 이미 감염된 데이터가 백업되어 '오염된 백업본'이 만들어지는 것을 방지하는 역할을 합니다. Acronis는 자사의 사이버 보호 솔루션에 AI 기반 행동 탐지 엔진을 통합하여 백업과 보안을 하나의 플랫폼에서 제공하는 것을 핵심 전략으로 삼고 있습니다.
에어갭 + 불변 스토리지 + AI 이상 탐지. 이 세 가지가 결합되면, 랜섬웨어가 ① 백업 저장소에 접근하는 것을 차단하고, ② 접근하더라도 데이터를 변조할 수 없게 하며, ③ 감염된 데이터가 백업되는 것까지 방지하는 삼중 방어선이 구축됩니다.
실전 시나리오: 금요일 밤의 랜섬웨어 공격
어느 금요일 밤, 직원 80명 규모의 제조업체 사내 네트워크에 랜섬웨어가 침투합니다. 공격자는 주말 동안 AD 관리자 계정을 탈취하고, 월요일 새벽에 전체 서버를 암호화합니다. 사내 NAS에 저장된 백업도 함께 암호화됩니다.
그러나 이 기업은 클라우드 기반 에어갭 백업을 운영하고 있었습니다. 매일 자동으로 전송된 백업 데이터는 30일 불변 정책이 적용된 클라우드 저장소에 보관되어 있어, 공격자가 관리자 콘솔에 접근하더라도 삭제할 수 없는 상태였습니다. 월요일 오전, IT 담당자는 클라우드 백업에서 금요일 저녁 시점의 이미지를 다운로드하여 핵심 업무 서버를 복구합니다. 전체 복구에는 수 시간이 소요되었지만, 몸값을 지불하지 않았고 데이터 손실도 주말 이틀치로 최소화되었습니다.
만약 에어갭 백업이 없었다면? 이 기업은 모든 백업을 잃고, 수천만 원의 몸값 요구에 직면하며, 복구 불가능한 데이터 손실과 수주간의 업무 중단을 겪었을 것입니다.
위 시나리오는 가상이지만, 보안 업계에서 반복적으로 보고되는 실제 공격 패턴을 그대로 반영한 것입니다. 에어갭 백업의 유무가 기업의 존속과 폐업을 가르는 결정적 차이가 됩니다.
에어갭 백업 도입 전 체크리스트
에어갭 백업을 도입하기 전, 아래 항목을 점검하여 현재 환경의 취약점과 우선순위를 파악하세요.
- 현재 백업이 3-2-1 원칙을 충족하는가? — 복사본 수, 매체 다양성, 오프사이트 보관 여부를 확인합니다.
- 백업 저장소가 운영 네트워크와 동일 세그먼트에 있는가? — 동일 네트워크에 있다면 랜섬웨어 확산 경로에 포함됩니다.
- 백업 관리자 계정이 AD와 분리되어 있는가? — AD 계정 탈취 시 백업까지 무력화되는 구조인지 점검합니다.
- 백업 데이터에 불변(Immutable) 정책이 적용되어 있는가? — 관리자 권한으로도 삭제 불가능한 보호 장치가 있는지 확인합니다.
- 최근 6개월 내 복구 테스트를 실시한 적이 있는가? — 테스트 없는 백업은 신뢰할 수 없습니다.
- 개인정보보호법상 데이터 보존 의무를 충족하고 있는가? — 백업 보존 기간과 법적 보존 요건의 정합성을 검토합니다.
- 랜섬웨어 감염 시 목표 복구 시간(RTO)과 목표 복구 시점(RPO)이 정의되어 있는가? — 이 수치가 없으면 적절한 에어갭 구성 수준을 결정할 수 없습니다.
KDSys와 함께하는 에어갭 백업 도입
에어갭 백업의 필요성은 분명하지만, 실제 구성에서는 네트워크 설계, 정책 설정, 클라우드 연동, 복구 테스트 등 전문적인 지식이 필요합니다. 특히 중소기업은 전담 보안 인력이 부족한 경우가 많아, 혼자서 모든 것을 해결하기 어렵습니다.
KDSys는 Acronis 공식 파트너로서, 중소기업 환경에 최적화된 에어갭 백업 전략 수립부터 구축, 운영, 모니터링까지 전 과정을 지원합니다. Acronis Cyber Protect Cloud의 클라우드 백업 + 불변 스토리지 + AI 기반 보안을 통합한 솔루션을 기반으로, 기업의 규모와 예산에 맞는 맞춤형 에어갭 백업을 설계해 드립니다.
지금 바로 KDSys에 문의하세요. 현재 백업 환경에 대한 무료 취약점 진단과 함께, 에어갭 백업 도입 시 예상되는 비용과 효과를 상담받으실 수 있습니다. 랜섬웨어 공격은 '만약'의 문제가 아니라 '언제'의 문제입니다. 준비된 기업만이 살아남습니다.
