최근 공공기관‧의료기관 타깃 랜섬웨어 공격 증가…“오프사이트 백업과 정기 복구훈련 필수”
랜섬웨어 공격이 점점 더 지능화되면서, 백업 데이터를 노리는 2차 피해가 잇따르고 있다. 기존에는 백업만 철저히 관리하면 피해를 최소화할 수 있다는 인식이 있었지만, 최근에는 백업 시스템까지 감염시켜 복구 자체를 불가능하게 만드는 사례가 속출하고 있다.
지난 6월, 국내 중견 병원 두 곳은 동시에 랜섬웨어 공격을 받아 진료 시스템이 마비됐다. 병원 측은 “백업 서버를 통해 복구를 시도했지만, 공격자가 백업까지 암호화해 사실상 시스템 전체가 마비됐다”고 설명했다. 같은 달 수도권의 한 공공기관 역시 내부 백업망과 운영망이 물리적으로 분리되지 않은 상태에서 랜섬웨어에 감염돼 주요 업무가 수일간 중단되는 사고가 발생했다.
이처럼 백업조차 안전하지 않은 상황에 대응하기 위해, 한국인터넷진흥원(KISA)은 7월 17일 ‘랜섬웨어 대응을 위한 데이터 백업 8대 보안 수칙’을 발표했다. 이는 지난 6월 11일 공개된 랜섬웨어 대응 보안수칙에 이은 후속 조치로, 특히 백업 데이터 보호에 초점을 맞췄다는 점에서 의미가 크다.
KISA가 제시한 8대 수칙은 기업의 보안 관리자들이 실질적으로 참고할 수 있도록 구성됐다. 핵심은 오프사이트 백업 운영과 접근 통제 강화, 정기 복구 훈련 등이다.
먼저, KISA는 “중요 데이터는 반드시 서비스망과 분리된 오프사이트(클라우드, 외부 저장소 또는 오프라인)에 백업해 운영해야 한다”고 강조했다. 실제로 동일한 네트워크에 백업 시스템이 연결돼 있다면, 랜섬웨어가 확산될 때 백업까지 동시에 감염돼 복구가 어려워질 수 있다는 것이다.
또한, 국제적으로 권장되는 ‘3-2-1 백업 전략’도 명시했다. 이는 3개의 데이터 사본을 보유하고, 이 중 2개는 서로 다른 저장 매체에, 1개는 오프사이트에 저장하는 방식이다. KISA는 이 방식을 따를 경우 다양한 재해 상황에도 효과적으로 대응할 수 있다고 설명했다.
접근 통제와 권한 관리도 주요 수칙으로 포함됐다. 백업 저장소는 백업 전담 인력을 제외하고는 접근을 차단하고, 가능할 경우 OTP 등 다단계 인증을 적용해야 한다는 권고다. 이 외에도 백업 서버에는 백신 또는 EDR(Endpoint Detection & Response)을 설치해 모니터링 체계를 갖춰야 하며, 연 1회 이상 복구 훈련을 통해 실제 복원 가능성을 점검할 필요가 있다고 밝혔다.
특히 최근의 공격 경향을 고려할 때, 백업 전 무결성 검증과 자동화된 백업 주기 운영의 중요성도 강조됐다. 감염된 데이터를 그대로 백업하는 상황을 방지하기 위해 백업 전 악성 코드 감염 여부를 점검하고, 일간/주간/월간 단위로 자동 백업이 이뤄지도록 설정해야 한다는 것이다.
보안 전문가들은 “랜섬웨어 대응의 핵심은 단순한 데이터 백업이 아니라, 감염 가능성을 최소화하는 ‘보안 중심 백업 전략’”이라고 강조한다. 특히 최근 공격자들이 백업 스토리지와 네트워크 구성의 취약점을 사전에 파악하고 감염시킨다는 점에서, 백업 환경 전반에 대한 보안 점검이 필수적이라는 지적이 나온다.
정부 역시 이러한 추세를 반영해 사이버 위기 경보 체계를 강화하고 있으며, KISA는 이번 수칙을 전국 기업과 기관에 안내하고 관련 보안 교육과 컨설팅도 병행할 계획이다.
전문가들은 백업 데이터는 최후의 보루이며, 이마저 무너지면 기업 전체가 마비될 수 있다고 경고한다. 따라서 단순한 데이터 복사에 그치지 않고, 백업 시스템 자체의 보안성 확보가 필수라는 점을 강조했다. 기업은 이번 수칙을 참고해 자사 백업 시스템을 전면 점검하고, 백업 주기와 복구 훈련 등을 실질적으로 개선할 필요가 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[김용구 박사의 맛있는 인천 섬 이야기] ㊼해양쓰레기의 주범, 바다에 버려진 폐어구](https://www.kgnews.co.kr/data/photos/20250729/art_17529777737662_f52402.jpg)
