백업을 했는데, 백업이 유출된다면?
많은 중소기업 IT 담당자분들이 "백업만 잘 해놓으면 안전하다"고 생각합니다. 그러나 보안 전문가들은 공통적으로 지적합니다 — 암호화되지 않은 백업 데이터는 공격자에게 '정리된 선물 꾸러미'나 다름없다고 말입니다. 실제로 랜섬웨어 공격 그룹들은 기업의 백업 저장소를 우선 타깃으로 삼는 경우가 늘고 있으며, 백업 파일을 탈취하여 이중 협박(데이터 암호화 + 유출 위협)에 활용하는 것이 일반적인 전술로 자리 잡았습니다.
한국의 개인정보보호법은 개인정보를 전송하거나 저장할 때 암호화 조치를 의무화하고 있습니다. 행정안전부의 '개인정보의 안전성 확보조치 기준'에 따르면, 고유식별정보·비밀번호·바이오정보 등은 저장 시 암호화해야 하며, 정보통신망을 통해 전송할 때도 암호화가 필수입니다. 이를 위반하면 과태료뿐 아니라 심각한 기업 신뢰도 하락까지 이어집니다. 그런데 많은 기업이 운영 서버의 암호화에는 신경 쓰면서, 백업 데이터의 암호화는 간과하는 경우가 많습니다.
이 글에서는 백업 암호화의 기본 원리부터, 현재 업계 표준인 AES-256 암호화가 무엇인지, 그리고 실제로 클라우드 백업 환경에서 어떻게 적용하는지를 실무 중심으로 안내합니다.
백업 암호화의 두 가지 핵심: 전송 중 암호화 vs 저장 중 암호화
백업 암호화를 이해하려면 먼저 데이터가 위험에 노출되는 두 가지 구간을 구분해야 합니다. 보안 업계에서는 이를 각각 Data in Transit(전송 중 데이터)과 Data at Rest(저장 중 데이터)로 부릅니다.
전송 중 암호화 (Encryption in Transit)
백업 데이터가 사내 서버에서 클라우드 저장소 또는 원격 데이터센터로 이동하는 과정에서 적용되는 암호화입니다. 이 구간에서 암호화가 없으면, 네트워크를 감청(스니핑)하는 공격자가 백업 데이터를 그대로 가로챌 수 있습니다. 일반적으로 TLS(Transport Layer Security) 1.2 이상 프로토콜이 사용되며, 이는 웹 브라우저의 HTTPS와 동일한 보안 표준입니다. 전송 중 암호화는 데이터가 이동하는 '파이프라인'을 보호하는 역할을 합니다.
저장 중 암호화 (Encryption at Rest)
백업 데이터가 목적지(클라우드 스토리지, NAS, 외장 디스크 등)에 도착한 후 저장된 상태에서 적용되는 암호화입니다. 저장 중 암호화가 없으면, 저장 매체가 물리적으로 도난당하거나, 클라우드 계정이 침해당했을 때 백업 파일이 평문(Plain Text) 그대로 노출됩니다. 이 구간에서는 주로 AES-256 같은 대칭 키 암호화 알고리즘이 사용됩니다.
진정한 백업 보안은 전송 중 암호화와 저장 중 암호화가 모두 적용되어야 합니다. 둘 중 하나만 적용하면 보안 체인에 약한 고리가 생기며, 공격자는 항상 가장 약한 지점을 노립니다.
| 구분 | 전송 중 암호화 (In Transit) | 저장 중 암호화 (At Rest) |
|---|---|---|
| 보호 대상 | 네트워크를 통해 이동하는 데이터 | 스토리지에 저장된 데이터 |
| 주요 위협 | 네트워크 스니핑, 중간자 공격(MITM) | 매체 도난, 계정 침해, 내부자 위협 |
| 일반적 기술 | TLS 1.2/1.3, SSL VPN | AES-128, AES-256 |
| 적용 시점 | 백업 작업 실행 중 | 백업 파일 저장 완료 후 상시 |
| 성능 영향 | 네트워크 속도에 약간의 오버헤드 | 저장/복구 시 CPU 연산 오버헤드 |
| 법적 의무(한국) | 개인정보보호법 제29조 전송 시 암호화 | 안전성 확보조치 기준 저장 시 암호화 |
AES-256이란? 왜 백업 암호화의 표준인가
AES(Advanced Encryption Standard)는 미국 국립표준기술연구소(NIST)가 2001년에 연방 표준 암호화 알고리즘으로 채택한 대칭 키 암호화 방식입니다. '대칭 키'란 암호화와 복호화에 동일한 키를 사용한다는 뜻입니다. AES에는 키 길이에 따라 AES-128, AES-192, AES-256 세 가지 변형이 있으며, 숫자는 키의 비트 수를 의미합니다.
AES-256은 256비트 길이의 키를 사용하며, 이론적으로 가능한 키 조합의 수는 2의 256승(약 1.16 × 10⁷⁷)에 달합니다. 이는 현존하는 어떤 슈퍼컴퓨터로도 무차별 대입(Brute Force) 방식으로 해독하는 것이 사실상 불가능한 수준입니다. 이러한 이유로 AES-256은 미국 정부의 기밀 정보(Top Secret) 보호에도 사용이 승인되어 있으며, 전 세계적으로 금융·의료·군사 분야의 데이터 보호 표준으로 자리 잡았습니다.
백업 암호화에서 AES-256이 특히 중요한 이유는 다음과 같습니다:
- 장기 보관 안전성: 백업 데이터는 수개월에서 수년간 보관됩니다. 암호화 알고리즘이 약하면 시간이 지남에 따라 해독 가능성이 높아지지만, AES-256은 양자 컴퓨팅 시대 이전까지 충분한 안전 마진을 제공한다고 보안 전문가들은 평가합니다.
- 성능과 보안의 균형: AES는 하드웨어 가속(Intel AES-NI 등)을 지원하는 프로세서에서 매우 효율적으로 동작합니다. 대부분의 현대 서버 CPU는 AES 전용 명령어 세트를 내장하고 있어, 암호화로 인한 백업 속도 저하가 크지 않습니다.
- 글로벌 규정 준수: 한국의 개인정보보호법, EU의 GDPR, 미국의 HIPAA 등 주요 데이터 보호 규정에서 AES-256 수준의 암호화를 권장하거나 요구합니다.
AES-256 암호화의 안전성은 키 관리에 달려 있습니다. 암호화 키(비밀번호)를 백업 데이터와 같은 위치에 저장하거나, 누구나 접근할 수 있는 공유 폴더에 메모해 두면 암호화의 의미가 없습니다. 키를 분실하면 데이터 복구가 영구적으로 불가능해질 수 있으므로, 키 관리 정책을 반드시 수립해야 합니다.
클라우드 백업에 AES-256 암호화를 적용하는 실무 가이드
이론을 이해했다면, 실제로 어떻게 적용하는지가 중요합니다. 아래는 클라우드 백업 환경에서 AES-256 암호화를 제대로 구성하기 위한 단계별 가이드입니다.
- 백업 솔루션의 암호화 지원 여부 확인
사용 중이거나 도입 예정인 백업 솔루션이 AES-256 암호화를 기본 지원하는지 확인합니다. 전송 중(TLS)과 저장 중(AES-256) 모두 지원하는지를 체크해야 합니다. Acronis Cyber Protect와 같은 엔터프라이즈급 솔루션은 두 구간 모두에 대한 암호화를 기본 기능으로 제공합니다. - 암호화 키(비밀번호) 정책 수립
암호화 비밀번호는 최소 12자 이상, 대소문자·숫자·특수문자를 혼합하여 설정합니다. 이 비밀번호는 백업 솔루션 벤더도 복구해줄 수 없는 경우가 대부분이므로, 안전한 별도 위치(예: 금고에 보관된 물리적 문서, 별도의 패스워드 관리자)에 기록해야 합니다. - 백업 계획(Plan) 생성 시 암호화 옵션 활성화
대부분의 백업 솔루션에서는 백업 계획을 생성하는 단계에서 암호화를 설정합니다. 이 시점에서 '암호화 알고리즘: AES-256'을 선택하고 비밀번호를 입력합니다. 백업이 이미 실행된 후에는 기존 백업본에 소급 적용이 안 되는 경우가 많으므로, 반드시 첫 백업 전에 설정해야 합니다. - 암호화 적용 후 복구 테스트 실시
암호화 설정 후 실제로 복구가 정상 작동하는지 반드시 검증합니다. 암호화 비밀번호를 입력하여 복구가 완료되는지, 복구된 데이터의 무결성이 보장되는지를 확인합니다. 이 테스트를 건너뛰면 실제 재해 상황에서 복구 실패를 경험할 수 있습니다. - 정기적 키 관리 감사 및 교체
암호화 비밀번호의 보관 상태를 분기별로 점검하고, 담당자 변경이나 퇴사가 발생하면 즉시 비밀번호를 교체합니다. 키 관리 체계가 무너지면 암호화 자체가 무력화되거나, 반대로 자사 데이터에 접근할 수 없게 되는 최악의 상황이 발생합니다.
시나리오: 암호화 없는 백업이 초래할 수 있는 위험
직원 50명 규모의 제조업체를 가정해보겠습니다. 이 회사는 매일 밤 전체 서버를 NAS에 백업하고, 사본을 클라우드에 업로드하고 있었습니다. 그러나 백업 암호화는 설정하지 않은 상태였습니다. 어느 날 VPN 장비의 취약점을 통해 공격자가 내부 네트워크에 침입하여, NAS에 저장된 백업 파일을 외부로 유출한 뒤 랜섬웨어를 배포했습니다. 원본 서버도 백업도 모두 암호화되었지만, 공격자는 이미 암호화되지 않은 백업 파일(고객 개인정보 포함)을 확보한 상태였습니다. 복구를 위해 랜섬을 지불하든, 지불하지 않든 개인정보 유출이라는 법적·사업적 피해는 피할 수 없는 상황이 됩니다. 만약 백업 파일이 AES-256으로 암호화되어 있었다면, 공격자가 파일을 탈취하더라도 내용을 열람할 수 없었을 것이며, 개인정보 유출 피해를 원천 차단할 수 있었을 것입니다.
이 시나리오는 가상이지만, 보안 업계에서 빈번하게 보고되는 공격 패턴을 기반으로 구성한 것입니다. 핵심 교훈은 명확합니다 — 백업은 '존재'만으로는 안전하지 않으며, 암호화가 되어야 비로소 보호 수단이 됩니다.
백업 암호화 도입 전 체크리스트
아래 체크리스트를 활용하여 현재 우리 회사의 백업 암호화 상태를 점검해보세요.
- ☐ 현재 백업 솔루션이 AES-256 저장 중 암호화를 지원하는가?
- ☐ 백업 데이터 전송 시 TLS 1.2 이상이 적용되고 있는가?
- ☐ 암호화 비밀번호가 12자 이상, 복합 문자 조합으로 설정되어 있는가?
- ☐ 암호화 키(비밀번호)가 백업 데이터와 분리된 안전한 위치에 보관되고 있는가?
- ☐ 암호화 키 접근 권한이 최소한의 인원에게만 부여되어 있는가?
- ☐ 암호화된 백업으로부터 복구 테스트를 최근 3개월 이내에 실시했는가?
- ☐ 담당자 퇴사·변경 시 암호화 키 교체 프로세스가 정의되어 있는가?
- ☐ 개인정보보호법 및 관련 규정의 암호화 요구사항을 충족하고 있는가?
- ☐ 클라우드 백업 제공업체의 데이터센터 물리 보안 및 인증(ISO 27001 등)을 확인했는가?
- ☐ 암호화 적용 후 백업 성능(소요 시간, 용량 변화)을 모니터링하고 있는가?
위 체크리스트에서 3개 이상 '아니오'라면, 현재 백업 체계에 심각한 보안 공백이 있을 가능성이 높습니다. 특히 개인정보를 다루는 기업이라면 법적 리스크까지 동반되므로 즉시 개선이 필요합니다.
Acronis Cyber Protect의 암호화 접근 방식
Acronis Cyber Protect는 백업과 사이버 보안을 하나의 플랫폼에서 통합 관리하는 솔루션으로, 암호화에 대해서도 포괄적인 접근을 취합니다. 공개된 정보에 따르면, Acronis는 전송 중 TLS 암호화와 저장 중 AES-256 암호화를 기본으로 지원하며, 암호화 키는 사용자(기업)만이 보유하는 구조를 제공합니다. 이는 클라우드 서비스 제공자조차 사용자의 백업 데이터를 열람할 수 없음을 의미합니다.
또한 Acronis는 이미지 기반 백업(디스크 전체를 그대로 백업)과 파일 수준 백업 모두에 암호화를 적용할 수 있으며, AI 기반 행동 탐지 기술을 통해 랜섬웨어가 백업 파일 자체를 변조하려는 시도를 실시간으로 차단하는 기능도 함께 제공합니다. 이는 단순히 '데이터를 암호화하여 저장'하는 것을 넘어, 백업 데이터의 무결성까지 능동적으로 보호하는 다계층 방어 전략입니다.
| 비교 항목 | 암호화 미적용 백업 | AES-256 암호화 적용 백업 |
|---|---|---|
| 데이터 유출 시 피해 | 백업 파일 전체 내용 노출 | 암호문만 노출, 실질적 피해 없음 |
| 법적 규정 준수 | 개인정보보호법 위반 가능성 높음 | 암호화 의무 요건 충족 |
| 랜섬웨어 이중 협박 대응 | 유출 데이터로 추가 협박 가능 | 유출되어도 복호화 불가로 협박 무력화 |
| 물리적 매체 분실/도난 시 | 즉각적 정보 유출 | 암호화 키 없이 접근 불가 |
| 백업 성능 영향 | 없음 | CPU AES-NI 지원 시 경미한 수준 |
| 복구 시 추가 절차 | 없음 | 암호화 키 입력 필요 |
| 운영 복잡도 | 낮음 | 키 관리 정책 수립 필요 (중간) |
마무리: 암호화 없는 백업은 반쪽짜리 보험입니다
백업 암호화는 더 이상 선택이 아닙니다. 랜섬웨어 공격이 백업 저장소까지 타깃으로 삼고, 데이터 유출을 통한 이중 협박이 일반화된 지금, AES-256 수준의 암호화 없이 백업을 운영하는 것은 금고 문을 열어둔 채 도둑을 걱정하는 것과 같습니다.
핵심을 다시 정리합니다:
- 백업 데이터는 전송 중(TLS)과 저장 중(AES-256) 두 구간 모두 암호화해야 합니다.
- AES-256은 현존 최고 수준의 대칭 키 암호화 표준이며, 현대 CPU에서 성능 부담이 크지 않습니다.
- 암호화의 실효성은 키 관리에 달려 있으므로, 키 보관·교체·접근 통제 정책이 필수입니다.
- 한국 개인정보보호법은 전송 및 저장 시 암호화를 법적으로 요구하고 있습니다.
KDSys는 Acronis 공인 파트너로서, 단순히 솔루션을 납품하는 것이 아니라 귀사의 환경에 맞는 암호화 정책 수립, 백업 계획 설계, 복구 테스트, 그리고 지속적인 운영 지원까지 함께합니다. 백업 암호화 설정이 제대로 되어 있는지 확인하고 싶으시다면, 또는 AES-256 기반의 안전한 클라우드 백업 체계를 구축하고자 하신다면 지금 KDSys에 문의해 주세요. 무료 보안 진단과 컨설팅을 통해 현재 백업 체계의 암호화 수준을 점검하고, 최적의 개선 방안을 제안해 드리겠습니다.