"백업이 있으니 랜섬웨어에 걸려도 괜찮다"는 말, 더 이상 통하지 않습니다. 최근 랜섬웨어 공격자들은 운영 서버를 암호화하기 전에 백업 저장소부터 찾아 삭제하거나 암호화하는 전략을 사용합니다. NAS에 연결된 네트워크 공유 폴더, 관리자 계정으로 접근 가능한 클라우드 동기화 드라이브 — 이 모든 것이 공격 대상입니다.
한국인터넷진흥원(KISA)의 랜섬웨어 대응 안내서에서도 백업 데이터의 네트워크 분리 보관을 핵심 권고사항으로 제시하고 있으며, 보안 전문가들은 "백업이 공격자의 손이 닿지 않는 곳에 있어야 진정한 백업"이라고 강조합니다. 이 글에서는 바로 그 원리인 에어갭(Air-gap) 백업의 개념, 구성 방식, 그리고 중소기업이 실제로 도입할 수 있는 현실적인 방법을 심도 있게 다룹니다.
백업 서버가 랜섬웨어에 감염된 네트워크 안에 함께 있다면, 그것은 '같은 건물 안의 금고'에 불과합니다. 건물 전체가 불타면 금고도 함께 사라집니다. 에어갭 백업은 이 금고를 물리적으로 완전히 다른 장소에 두는 전략입니다.
에어갭(Air-gap) 백업이란 무엇인가
에어갭(Air-gap)은 원래 군사·기밀 네트워크에서 사용하던 보안 개념으로, 두 시스템 사이에 물리적 또는 논리적 네트워크 연결이 전혀 없는 상태를 의미합니다. 말 그대로 '공기(Air)로 된 간격(Gap)'으로 분리한다는 뜻입니다.
에어갭 백업에서 이 원리를 적용하면, 백업 데이터가 저장되는 매체 또는 저장소가 평상시에는 운영 네트워크와 연결되지 않은 상태를 유지합니다. 백업이 수행되는 짧은 시간 동안만 연결이 열리고, 백업이 완료되면 즉시 연결이 차단됩니다. 이렇게 하면 랜섬웨어가 운영 네트워크 전체를 장악하더라도, 에어갭 상태의 백업 데이터에는 접근 자체가 불가능합니다.
에어갭의 본질은 '접근 불가능성'입니다. 공격자가 아무리 높은 권한을 탈취하더라도, 물리적으로 연결되지 않은 저장소에는 도달할 수 없습니다. 이것이 에어갭 백업이 '최후의 방어선'으로 불리는 이유입니다.
에어갭은 구현 방식에 따라 크게 세 가지로 나뉩니다:
- 물리적 에어갭(Physical Air-gap): 외장 하드디스크, 테이프(LTO) 등 이동식 매체에 백업 후 물리적으로 분리 보관하는 방식. 가장 전통적이고 확실하지만, 사람의 수작업이 필요합니다.
- 논리적 에어갭(Logical Air-gap): 네트워크는 존재하지만 방화벽 규칙, VLAN 분리, 접근 제어 등으로 평상시 접근을 차단하는 방식. 자동화가 가능하지만 설정 오류 시 취약해질 수 있습니다.
- 클라우드 에어갭(Cloud Air-gap): 클라우드 저장소에 백업하되, 불변성(Immutability) 설정을 적용해 일정 기간 동안 누구도 삭제·수정할 수 없게 만드는 방식. 중소기업에 가장 현실적인 선택지입니다.
왜 일반 백업으로는 랜섬웨어를 막을 수 없는가
많은 중소기업이 "매일 백업하고 있으니 안심"이라고 생각합니다. 하지만 보안 전문가들은 일반적으로 랜섬웨어 공격의 상당수가 백업 인프라까지 함께 파괴한다고 경고합니다. 공격자들이 백업을 무력화하는 대표적인 방법은 다음과 같습니다:
- 백업 서버 직접 공격: 관리자 계정을 탈취한 뒤 백업 소프트웨어의 관리 콘솔에 접속하여 백업 데이터를 삭제하거나, 백업 스케줄을 비활성화합니다.
- 네트워크 공유 폴더 암호화: NAS나 파일 서버에 SMB/CIFS로 연결된 백업 폴더를 운영 데이터와 함께 암호화합니다. 백업 폴더가 네트워크 드라이브로 마운트되어 있다면 랜섬웨어의 첫 번째 타깃이 됩니다.
- VSS(볼륨 섀도 복사본) 삭제: Windows의 이전 버전 기능을 통한 복구를 막기 위해, 공격 초기에
vssadmin delete shadows명령으로 모든 섀도 복사본을 삭제합니다. - 잠복 후 시간차 공격: 즉시 암호화하지 않고, 수 주에서 수 개월간 잠복하며 백업 사이클을 파악합니다. 충분한 기간의 백업이 모두 감염된 데이터로 덮어씌워진 후에야 공격을 실행합니다.
백업 저장소가 운영 네트워크와 같은 Active Directory 도메인에 속해 있다면, 도메인 관리자 계정이 탈취되는 순간 백업 데이터도 함께 위험해집니다. 백업 인프라는 반드시 별도의 인증 체계를 사용해야 합니다.
이러한 현실을 고려하면, 백업의 '양'이 아니라 '격리 수준'이 핵심이라는 점이 분명해집니다. 에어갭 백업은 바로 이 격리 수준을 최고치로 끌어올리는 방법론입니다.
에어갭 백업 구성 방식 비교: 물리적 vs 논리적 vs 클라우드
세 가지 에어갭 방식은 각각 장단점이 뚜렷합니다. 기업의 규모, 예산, 운영 역량에 따라 적합한 방식이 달라지므로, 아래 비교표를 참고하여 자사에 맞는 전략을 선택해야 합니다.
| 비교 항목 | 물리적 에어갭 | 논리적 에어갭 | 클라우드 에어갭 |
|---|---|---|---|
| 격리 수준 | 최상 (물리적 완전 분리) | 중상 (논리적 분리, 설정 의존) | 상 (불변성 정책으로 보호) |
| 자동화 수준 | 낮음 (수동 매체 교체 필요) | 높음 (스케줄 기반 자동화 가능) | 최상 (완전 자동화) |
| 초기 비용 | 낮음 (외장 HDD, 테이프 드라이브) | 중간 (네트워크 장비, 별도 서버) | 낮음~중간 (구독형 과금) |
| 운영 부담 | 높음 (사람이 매체 관리) | 중간 (네트워크 설정 관리) | 낮음 (CSP가 인프라 관리) |
| 재해복구(DR) 적합성 | 낮음 (물리 매체 운반 시간) | 중간 (네트워크 복구 시 지연 가능) | 높음 (원격 즉시 복구 가능) |
| 확장성 | 제한적 (매체 수량에 비례) | 중간 (스토리지 증설 필요) | 우수 (용량 탄력적 확장) |
| 중소기업 적합도 | 소규모·저예산 환경 | 자체 IT팀 보유 기업 | 대부분의 중소기업에 권장 |
현실적으로 중소기업이 테이프 라이브러리를 운영하거나, 매일 외장 하드디스크를 교체하며 금고에 보관하는 것은 쉽지 않습니다. 반면 클라우드 에어갭은 백업 소프트웨어가 자동으로 클라우드에 데이터를 전송하고, 불변성(Immutable Storage) 설정을 통해 지정된 보존 기간 동안 삭제나 변조를 원천 차단합니다. IT 담당자가 별도의 물리적 작업을 하지 않아도 에어갭 수준의 보호를 달성할 수 있다는 점에서, 가장 현실적인 선택지로 주목받고 있습니다.
에어갭 백업 도입을 위한 5단계 실전 가이드
에어갭 백업은 개념은 단순하지만, 실제 구축 시에는 여러 요소를 체계적으로 고려해야 합니다. 아래 단계별 가이드를 따르면 중소기업 환경에서도 효과적인 에어갭 백업 체계를 구성할 수 있습니다.
- 1단계: 핵심 자산 식별 및 우선순위 설정
모든 데이터를 에어갭으로 보호하는 것은 비용 효율적이지 않습니다. 업무 중단 시 즉각적인 손실이 발생하는 데이터(ERP 데이터베이스, 회계 시스템, 고객 정보 DB, 핵심 문서)를 우선 식별하고, 이들을 에어갭 백업의 1순위 대상으로 지정합니다. 개인정보보호법에 따라 개인정보 처리 데이터는 반드시 포함해야 합니다. - 2단계: 3-2-1-1 백업 규칙 적용
전통적인 3-2-1 규칙(3개의 복사본, 2가지 매체, 1개의 오프사이트 보관)에 '1개의 에어갭 또는 불변 백업'을 추가한 3-2-1-1 규칙을 적용합니다. 예를 들어: ① 운영 서버 원본, ② 로컬 NAS 백업, ③ 클라우드 불변 백업 — 이렇게 구성하면 로컬 백업이 랜섬웨어에 감염되더라도 클라우드의 불변 백업으로 복구가 가능합니다. - 3단계: 백업 인증 체계 분리
백업 시스템의 관리자 계정은 운영 환경의 Active Directory와 완전히 분리해야 합니다. 별도의 로컬 계정 또는 독립된 인증 시스템을 사용하고, 다중 인증(MFA)을 반드시 적용합니다. 이것은 도메인 관리자 계정이 탈취되더라도 백업 시스템은 보호하기 위한 필수 조치입니다. - 4단계: 불변성(Immutability) 및 보존 정책 설정
클라우드 에어갭을 선택한 경우, 불변 저장소의 보존 기간을 설정합니다. 보안 전문가들은 일반적으로 최소 30일 이상의 불변 보존 기간을 권장합니다. 이는 랜섬웨어가 수 주간 잠복하는 시나리오에 대비하기 위함입니다. Acronis Cyber Protect Cloud와 같은 솔루션은 클라우드 저장소에 불변성 정책을 설정할 수 있는 기능을 제공합니다. - 5단계: 정기적인 복구 테스트 실시
백업은 복구할 수 있어야 의미가 있습니다. 최소 분기 1회, 에어갭 백업으로부터의 전체 복구(Full Restore) 테스트를 실시하고, 복구 소요 시간(RTO)과 데이터 손실 허용 범위(RPO)가 사전에 정의한 목표 내에 있는지 확인해야 합니다. 테스트 결과는 문서화하여 감사 및 컴플라이언스 대응에 활용합니다.
시나리오: 백업까지 암호화된 제조업체의 교훈
국내 한 중소 제조업체에서 흔히 발생하는 시나리오를 가정해 보겠습니다. 직원 50명 규모의 이 회사는 매일 밤 NAS에 파일 서버 데이터를 백업하고 있었습니다. 어느 날 아침, 출근한 직원들은 모든 PC와 파일 서버의 데이터가 암호화된 것을 발견합니다. 즉시 NAS의 백업 데이터로 복구를 시도하지만, NAS 역시 같은 네트워크에 SMB로 연결되어 있었기 때문에 백업 파일도 모두 암호화되어 있었습니다. 결국 이 회사는 수 주간의 업무 중단과 함께 상당한 매출 손실을 겪게 됩니다.
만약 이 회사가 클라우드 에어갭 백업을 하나라도 구성해 두었다면 어떨까요? NAS 백업이 무력화되더라도, 클라우드의 불변 저장소에 보관된 백업 데이터로 핵심 시스템을 수 시간 내에 복구할 수 있었을 것입니다. 에어갭 백업 하나의 유무가 '며칠 내 정상화'와 '수 주간의 마비' 사이를 가르는 결정적 차이가 됩니다.
Acronis 솔루션으로 구현하는 실용적 에어갭 백업
Acronis Cyber Protect Cloud는 중소기업이 복잡한 인프라 없이도 에어갭 수준의 보호를 구현할 수 있도록 설계된 통합 사이버 보호 솔루션입니다. 에어갭 백업 관점에서 주목할 핵심 개념은 다음과 같습니다:
- 클라우드 불변 스토리지: Acronis 클라우드 데이터센터에 백업 데이터를 저장하며, 설정된 보존 기간 동안 관리자 계정으로도 삭제나 변조가 불가능합니다. 이는 사실상 클라우드 기반 에어갭과 동일한 보호 효과를 제공합니다.
- AI 기반 랜섬웨어 탐지: 백업 에이전트 수준에서 의심스러운 파일 암호화 행위를 실시간으로 탐지하고 차단합니다. 에어갭 백업이 '최후의 방어선'이라면, AI 탐지는 '1차 방어선'으로 기능하여 다층 방어 구조를 형성합니다.
- 이미지 기반 전체 백업: 파일 단위가 아닌 디스크 이미지 단위의 백업을 지원하므로, 복구 시 운영체제, 애플리케이션, 데이터를 통째로 복원할 수 있습니다. 랜섬웨어 감염 후 깨끗한 상태로의 완전 복구에 필수적인 기능입니다.
- 단일 콘솔 통합 관리: 백업, 보안, 패치 관리를 하나의 웹 콘솔에서 관리할 수 있어, 전담 IT 보안팀이 없는 중소기업에서도 운영 부담을 최소화할 수 있습니다.
에어갭 백업은 단독으로 사용하는 것보다 다층 방어 전략(Defense in Depth)의 일부로 구성할 때 가장 효과적입니다. 엔드포인트 보안 + 네트워크 보안 + 로컬 백업 + 에어갭 백업의 계층 구조를 갖추면, 어느 한 계층이 뚫리더라도 다음 계층이 방어하는 구조가 완성됩니다.
마무리: 에어갭 백업은 선택이 아닌 생존 전략입니다
정리하면, 에어갭 백업의 핵심은 세 가지로 요약됩니다:
- 격리: 백업 데이터를 운영 네트워크에서 물리적·논리적으로 완전히 분리합니다.
- 불변성: 저장된 백업 데이터를 일정 기간 동안 누구도 삭제하거나 변조할 수 없도록 보호합니다.
- 자동화: 사람의 실수나 태만에 의존하지 않고, 정책 기반으로 자동 실행되는 백업 체계를 구축합니다.
랜섬웨어는 계속 진화하고 있으며, 백업을 무력화하는 기법도 갈수록 정교해지고 있습니다. 개인정보보호법은 개인정보의 안전한 관리를 요구하고, 데이터 유출·손실 시 기업에 법적 책임을 묻습니다. 에어갭 백업은 이러한 위협과 규제 환경에서 기업의 데이터와 사업 연속성을 지키는 가장 확실한 마지막 보루입니다.
KDSys는 Acronis의 공식 파트너로서, 귀사의 IT 환경과 예산에 맞는 최적의 에어갭 백업 전략을 설계해 드립니다. 현재 백업 체계의 취약점 진단부터 클라우드 에어갭 백업 구축, 복구 테스트까지 — 데이터 보호의 전 과정을 원스톱으로 지원합니다. 지금 KDSys에 문의하시어 무료 백업 취약점 진단을 받아보시고, 랜섬웨어로부터 완전한 보호 체계를 구축하십시오.
