"백업이 있으니 랜섬웨어에 걸려도 괜찮겠지." 많은 IT 담당자들이 이렇게 생각합니다. 하지만 최근 랜섬웨어 공격은 운영 서버를 암호화하기 전에 먼저 백업 저장소를 찾아 파괴하는 것이 일반적인 패턴이 되었습니다. 공격자는 내부 네트워크에 침투한 뒤 수일에서 수주간 잠복하면서 NAS, 백업 서버, 심지어 VSS(Volume Shadow Copy)까지 삭제한 다음 본격적인 암호화를 시작합니다.
업계 보안 전문가들은 "백업이 공격자와 같은 네트워크에 있으면 백업이 아니라 또 하나의 피해 대상일 뿐"이라고 경고합니다. 실제로 랜섬웨어 피해를 입은 조직 중 상당수가 백업까지 함께 잃어 결국 몸값을 지불하거나 사업을 중단한 사례가 반복적으로 보고되고 있습니다. 이 문제를 근본적으로 해결하는 개념이 바로 에어갭(Air-gap) 백업입니다.
이 글에서는 에어갭 백업의 정확한 개념, 랜섬웨어 킬 체인에서의 역할, 물리적·논리적·클라우드 에어갭의 구성 원리, 그리고 한국 중소기업이 현실적으로 도입할 수 있는 방법을 체계적으로 안내합니다.
에어갭 백업이란? — 핵심 개념 완전 정리
에어갭(Air-gap)은 원래 군사·정보 보안 분야에서 유래한 용어로, 보호 대상 시스템을 외부 네트워크와 물리적으로 완전히 분리하는 것을 의미합니다. 에어갭 백업에 이 원리를 적용하면, 백업 데이터가 저장된 매체나 저장소가 운영 네트워크와 상시 연결되어 있지 않은 상태를 뜻합니다.
핵심은 단순합니다. 랜섬웨어가 네트워크를 통해 확산되므로, 백업 복사본이 네트워크에서 도달할 수 없는 곳에 있으면 암호화할 수 없다는 것입니다. 이를 구현하는 방식은 크게 세 가지로 나뉩니다.
- 물리적 에어갭: 테이프(LTO), 이동식 디스크 등을 백업 완료 후 물리적으로 분리·보관합니다. 가장 전통적이고 확실한 방법이지만, 수동 작업과 관리 부담이 존재합니다.
- 논리적 에어갭: 네트워크 세그멘테이션, 방화벽 규칙, 별도 VLAN 등을 활용하여 백업 저장소에 대한 접근을 엄격히 제한합니다. 백업 시간에만 제한된 포트를 열고, 나머지 시간에는 완전히 차단하는 방식입니다.
- 클라우드 에어갭: 백업 복사본을 클라우드 스토리지에 저장하되, 불변 스토리지(Immutable Storage) 정책을 적용하여 지정된 기간 동안 그 누구도(관리자 포함) 삭제·수정할 수 없도록 구성합니다. 물리적 분리와 논리적 보호를 결합한 현대적 접근입니다.
에어갭의 본질은 "접근 불가능성"입니다. 백업 데이터에 대해 운영 환경의 어떤 계정이나 프로세스도 직접 접근·수정·삭제할 수 없어야 진정한 에어갭이라 할 수 있습니다. 단순히 다른 폴더에 복사하는 것은 에어갭이 아닙니다.
왜 일반 백업은 랜섬웨어에 무력한가 — 공격 킬 체인 분석
랜섬웨어 공격은 단순히 파일을 암호화하는 단일 행위가 아닙니다. 현대 랜섬웨어는 체계적인 킬 체인(Kill Chain)을 따릅니다. 이 과정을 이해하면 에어갭이 왜 필수적인지 명확해집니다.
- 초기 침투: 피싱 이메일, 취약한 RDP 포트, 패치되지 않은 VPN 등을 통해 내부 네트워크에 진입합니다.
- 권한 상승 및 내부 탐색: Active Directory를 탈취하고 관리자 권한을 확보합니다. 이 단계에서 네트워크에 연결된 백업 서버, NAS, 공유 폴더를 모두 식별합니다.
- 백업 무력화: 백업 에이전트를 중지하고, VSS를 삭제하며, NAS의 스냅샷을 제거합니다. 백업 소프트웨어의 관리 콘솔에 접근하여 백업 작업 자체를 삭제하기도 합니다.
- 데이터 유출(이중 협박용): 민감 데이터를 외부로 유출하여 "몸값을 내지 않으면 공개하겠다"는 이중 협박의 수단으로 활용합니다.
- 본격 암호화: 모든 준비가 끝난 후 전체 시스템을 동시에 암호화하고 몸값을 요구합니다.
여기서 핵심은 3단계입니다. 백업 서버가 운영 네트워크와 같은 도메인에 있고, 같은 관리자 계정으로 접근 가능하며, 네트워크 경로로 상시 연결되어 있다면 — 공격자에게 백업은 그저 "먼저 처리해야 할 대상"일 뿐입니다. 에어갭 백업은 바로 이 3단계를 무력화하기 위해 존재합니다. 공격자가 아무리 내부 네트워크를 장악하더라도, 도달할 수 없는 곳에 온전한 백업 복사본이 남아 있으면 복구가 가능합니다.
백업 서버에 동일한 도메인 관리자 계정을 사용하는 것은 매우 위험합니다. 백업 인프라는 반드시 별도의 인증 체계(독립 계정, MFA 적용)로 운영해야 합니다. 이것만으로도 논리적 에어갭의 상당 부분을 확보할 수 있습니다.
에어갭 구성 방식 비교 — 물리적 vs 논리적 vs 클라우드
세 가지 에어갭 방식은 각각 장단점이 뚜렷합니다. 조직의 규모, 예산, 운영 역량에 따라 적합한 방식이 달라지며, 이상적으로는 복수의 방식을 조합하는 것이 권장됩니다.
| 비교 항목 | 물리적 에어갭 (테이프/이동식 디스크) | 논리적 에어갭 (네트워크 분리) | 클라우드 에어갭 (불변 스토리지) |
|---|---|---|---|
| 분리 수준 | 완전한 물리적 분리 | 네트워크 수준 분리 | 물리적 + 논리적 결합 |
| 랜섬웨어 차단 효과 | 매우 높음 | 높음 (설정 정확도에 의존) | 매우 높음 (불변 정책 적용 시) |
| 복구 속도 | 느림 (매체 반입·마운트 시간 필요) | 중간 ~ 빠름 | 중간 (다운로드 대역폭에 의존) |
| 자동화 가능성 | 낮음 (수동 교체 필요) | 높음 (스케줄링 가능) | 매우 높음 (완전 자동화) |
| 초기 비용 | 중간 (테이프 드라이브, 매체) | 낮음 ~ 중간 | 낮음 (월과금 구조) |
| 운영 부담 | 높음 (매체 관리, 라벨링, 보관) | 중간 (규칙 관리 필요) | 낮음 (관리형 서비스 활용 시) |
| 한국 중소기업 적합도 | 보통 (전담 인력 필요) | 보통 (네트워크 전문성 필요) | 높음 (전담 인력 없이도 운용 가능) |
한국 중소기업 환경에서는 클라우드 에어갭이 가장 현실적인 선택인 경우가 많습니다. 물리적 에어갭의 확실성과 논리적 에어갭의 자동화를 결합한 효과를 얻을 수 있기 때문입니다. 특히 불변 스토리지(Immutable Storage)는 설정된 보존 기간 동안 백업 데이터를 삭제·변경·덮어쓰기할 수 없도록 스토리지 레벨에서 강제하므로, 관리자 계정이 탈취되더라도 백업 데이터는 안전합니다.
실전 에어갭 백업 구성 — 3-2-1-1-0 원칙
전통적인 백업 원칙인 3-2-1 규칙(3개의 복사본, 2가지 다른 매체, 1개는 오프사이트)은 랜섬웨어 시대에 더 이상 충분하지 않습니다. 보안 업계에서는 이를 확장한 3-2-1-1-0 원칙을 권장하고 있습니다.
- 3: 최소 3개의 데이터 복사본을 유지합니다 (원본 + 2개의 백업).
- 2: 2가지 이상의 서로 다른 스토리지 유형에 저장합니다 (예: 로컬 디스크 + 클라우드).
- 1: 1개는 반드시 오프사이트(원격지)에 보관합니다.
- 1: 1개는 반드시 에어갭 또는 불변(Immutable) 상태로 유지합니다. — 이것이 핵심 추가 사항입니다.
- 0: 복구 테스트를 수행하여 오류가 0인 상태를 확인합니다.
이 원칙을 한국 중소기업 환경에서 실제로 구현하면 다음과 같은 아키텍처가 됩니다.
- 1차 백업 (로컬): 사내 백업 서버 또는 NAS에 이미지 기반 백업을 수행합니다. 빠른 복구를 위한 용도이며, 가장 최신 복구 지점을 제공합니다.
- 2차 백업 (클라우드 에어갭): 1차 백업 완료 후 클라우드 스토리지로 자동 복제합니다. 이때 불변 스토리지 정책을 적용하여, 예를 들어 30일간 삭제·수정이 불가능하도록 설정합니다. Acronis의 경우 클라우드 백업 시 이러한 보호 옵션을 제공하는 것으로 알려져 있습니다.
- 복구 검증 (자동): 백업 완료 후 자동으로 가상 환경에서 복구 테스트를 실행하여 백업의 무결성을 확인합니다. 실패 시 즉시 알림을 발송합니다.
- (선택) 3차 백업 (물리적 에어갭): 월 1회 등 주기적으로 외장 하드디스크나 테이프에 전체 백업을 수행하고 물리적으로 분리 보관합니다. 최악의 시나리오(클라우드 서비스 장애 등)에 대비한 최후의 보루입니다.
한국 개인정보보호법(제29조, 안전성 확보 조치)은 개인정보의 안전한 저장·전송을 요구합니다. 에어갭 백업은 단순한 보안 모범 사례가 아니라, 개인정보를 취급하는 기업이라면 법적 의무를 충족하기 위한 실질적인 수단이 될 수 있습니다. 특히 2023년 개정된 개인정보보호법은 과징금 상한을 크게 높였으므로, 데이터 보호에 대한 투자는 리스크 관리 관점에서도 합리적입니다.
클라우드 에어갭의 핵심 기술 — 불변 스토리지와 WORM
클라우드 에어갭을 가능하게 하는 핵심 기술은 불변 스토리지(Immutable Storage)입니다. 이는 WORM(Write Once Read Many) 원칙을 소프트웨어 레벨에서 구현한 것으로, 한 번 기록된 데이터를 지정된 보존 기간이 만료될 때까지 절대 변경하거나 삭제할 수 없습니다.
불변 스토리지가 랜섬웨어 대응에 효과적인 이유는 명확합니다. 랜섬웨어의 암호화 행위는 본질적으로 "기존 파일을 읽고 → 암호화된 내용으로 덮어쓰기 → 원본 삭제"라는 과정입니다. 불변 스토리지는 덮어쓰기와 삭제를 스토리지 계층에서 원천 차단하므로, 설령 공격자가 클라우드 관리 콘솔의 접근 자격을 탈취하더라도 보존 기간 내의 백업 데이터를 훼손할 수 없습니다.
Acronis Cyber Protect Cloud는 클라우드 백업 시 이러한 불변 스토리지 개념을 활용한 보호 기능을 제공하며, AI 기반의 행동 탐지 엔진을 통해 백업 파일 자체에 대한 의심스러운 접근을 실시간으로 감시하는 것으로 알려져 있습니다. 이러한 다층 방어 구조는 단순한 에어갭을 넘어서 "능동적 에어갭(Active Air-gap)"이라 부를 수 있는 수준의 보호를 실현합니다.
실제 시나리오: 금요일 밤의 랜섬웨어 공격
한 중소 제조업체의 상황을 가정해 봅시다. 금요일 밤 11시, 공격자는 2주 전 피싱 메일로 확보한 VPN 자격 증명을 사용해 내부에 침투합니다. 토요일 새벽까지 Active Directory 관리자 권한을 탈취하고, 사내 NAS에 저장된 백업 파일을 모두 삭제합니다. 일요일 오전, 전체 파일 서버와 ERP 시스템이 암호화됩니다. 월요일 아침 출근한 직원들은 모든 시스템이 마비된 것을 발견합니다.
시나리오 A — 에어갭 없음: NAS 백업이 유일한 백업이었고, 이미 삭제되었습니다. 복구 불가. 몸값 협상을 시작하거나, 처음부터 데이터를 재구축해야 합니다. 업무 중단은 수주에서 수개월.
시나리오 B — 클라우드 에어갭 적용: NAS 백업은 삭제되었지만, 클라우드에 불변 상태로 보관된 금요일 오후 6시 시점의 백업이 온전합니다. 클라우드에서 직접 복구를 시작하여, 핵심 시스템은 수 시간 내에 정상화됩니다. 데이터 손실은 금요일 오후 6시 이후 약 5시간 분량에 한정됩니다.
이 시나리오의 차이는 사업 연속성의 차이입니다. 에어갭 백업이 있느냐 없느냐가 기업의 생존을 좌우할 수 있습니다.
에어갭 백업 도입 체크리스트 — 지금 바로 점검하세요
아래 체크리스트를 통해 현재 우리 조직의 백업이 에어갭 수준의 보호를 제공하고 있는지 점검해 보시기 바랍니다.
- 백업 저장소가 운영 서버와 같은 네트워크 세그먼트에 있는가? — 같은 VLAN, 같은 서브넷에 있다면 에어갭이 아닙니다. 분리를 검토하십시오.
- 백업 서버에 도메인 관리자 계정으로 접근 가능한가? — 백업 인프라는 반드시 독립된 인증 체계를 사용해야 합니다. MFA(다중 인증) 적용은 필수입니다.
- 백업 복사본 중 하나 이상이 오프사이트(외부)에 있는가? — 사무실 내 NAS만으로는 화재, 수해 등 물리적 재해에도 취약합니다.
- 오프사이트 백업에 불변(Immutable) 정책이 적용되어 있는가? — 클라우드에 저장하더라도 관리자가 삭제할 수 있다면 공격자도 삭제할 수 있습니다.
- 백업 복구 테스트를 정기적으로 수행하고 있는가? — 복구되지 않는 백업은 백업이 아닙니다. 최소 분기 1회, 가능하면 매월 복구 테스트를 실시하십시오.
- 백업 모니터링 및 알림 체계가 작동 중인가? — 백업 실패 시 즉시 알림을 받을 수 있어야 합니다. "3개월째 백업이 안 되고 있었다"는 상황은 생각보다 흔합니다.
- 개인정보보호법 등 컴플라이언스 요건을 충족하는가? — 개인정보 처리 기업이라면 안전성 확보 조치 기준(개인정보의 안전성 확보조치 기준 고시)에 따른 백업 및 접근통제를 확인하십시오.
위 체크리스트에서 3개 이상 "아니오"에 해당한다면, 현재 백업 체계는 랜섬웨어 공격 시 무력화될 가능성이 높습니다. 즉각적인 개선 계획을 수립하시기 바랍니다.
마무리 — 에어갭 백업은 선택이 아닌 필수입니다
정리하면, 에어갭 백업의 핵심은 "공격자가 도달할 수 없는 곳에 온전한 복사본을 유지하는 것"입니다. 이를 위해 물리적 분리, 네트워크 분리, 클라우드 불변 스토리지 등 다양한 방식을 조합할 수 있으며, 한국 중소기업 환경에서는 클라우드 기반 에어갭이 비용 효율성과 운영 편의성 모두에서 가장 현실적인 대안입니다.
KDSys는 Acronis의 공인 파트너로서, 에어갭 백업 전략 수립부터 Acronis Cyber Protect Cloud 기반의 구축·운영까지 원스톱으로 지원합니다. 현재 백업 환경이 랜섬웨어에 얼마나 취약한지 무료 진단을 받아보시고, 우리 기업에 맞는 에어갭 구성을 전문가와 함께 설계해 보시기 바랍니다.
더 이상 "백업이 있으니 괜찮다"는 안일한 생각은 위험합니다. "에어갭 백업이 있으니 괜찮다"고 말할 수 있을 때 비로소 진정한 보호가 시작됩니다. KDSys에 문의하시면 우리 기업의 현 상황에 맞는 최적의 에어갭 백업 전략을 안내받으실 수 있습니다.
