랜섬웨어는 기업을 파산에 이르게 할 수 있다. 외환업체인 트래블렉스(Travelex)는 랜섬웨어 공격 후 파산을 신청했고, 중소기업의 60%가 사이버 공격 6개월 내에 문을 닫았다.

이에 대응하기 위해 많은 기업들이 IAM 솔루션, 피싱 방지 도구, 방화벽 등 예방 조치에 투자하고 있다. 하지만 위협 행위자들이 더욱 교묘하게 기존 보안을 우회함에 따라, 공격 자체를 피하기는 어려울 수 있다. 최첨단 랜섬웨어 예방 솔루션을 갖춘 MGM과 같은 수십억 달러 규모의 대기업조차 지난해 1억 1천만 달러의 손해를 입었다.

이 같은 환경에서 기업들은 공격 후 대응 솔루션에도 투자해 피해를 완화하고 더 큰 사태로 번지는 것을 막아야 한다.

복원력과 신속한 복구를 위해서는 포괄적인 사이버 보안 플레이북을 채택하는 것이 필수적이다. 에이전트 없는 클라우드 네이티브 사이버 보안 플랫폼인 엘라스티오(Elastio)가 다운타임과 데이터 손실을 최소화하면서 랜섬웨어 공격에서 완벽하게 복구할 수 있는 새로운 플레이북을 선보였다.

사이버 복구의 핵심, R-RPO 및 R-RTO

RTO(복구 시간 목표)와 RPO(복구 시점 목표)는 기업이 운영에 큰 타격 없이 감내할 수 있는 최대 가동 중지 시간과 데이터 손실량을 산정하는 필수 지표다.

사이버 위협으로부터 안전하려면 사이버 복구가 재해 복구와 다르다는 점을 이해해야 한다. 기존 재해 복구만으로는 재공격에 취약해진다. 따라서 랜섬웨어 복구 시점 목표(R-RPO)와 랜섬웨어 복구 시간 목표(R-RTO)에 주목해야 한다.

RPO는 예기치 못한 사고 발생 시 기업이 견딜 수 있는 데이터 손실 수준을 정하는 지표로, 백업 정책을 가이드한다. 하지만 사이버 공격 대응에는 백업만으로는 부족하다. 복구 가능한 백업이 필요하다. 랜섬웨어가 백업을 감염시켜 백업을 쓸모없게 만들 수 있기 때문이다. 백업의 랜섬웨어 감염 여부 테스트가 필수적이다. 3-2-1-1-0 규칙을 따라 백업에 허점이 없도록 한다.

RTO는 장애 발생 후 정상 운영을 복구하는 데 허용되는 최대 시간을 설정한다. 운영 중단 외에도 RTO 미충족 시 고객 SLA 관련 법적 비용이 발생할 수 있다. 랜섬웨어 공격이 시스템 전반으로 확산되면서 복구 시간도 길어진다. 탐지 시간 최소화와 검증된 클린 백업에서의 신속한 복구가 R-RTO 충족에 중요하다.

랜섬웨어 R.E.A.D.Y로 R-RPO와 R-RTO 목표 달성

랜섬웨어 공격 대비와 데이터 손실 및 가동 중지 시간 최소화는 연속적인 프로세스이다. 공격 후에 대비 상황을 확인하기보다는 사전에 준비해야 한다.

에이전트 없는 사이버 보안 플랫폼인 엘라스티오는 기업이 항상 목표를 달성할 수 있도록 랜섬웨어 ‘R.E.A.D.Y’ 플레이북을 권장한다.

⦁자산 인식(Recognize Assets) : 모든 자산 자동 검색, 랜섬웨어와 맬웨어가 보호되지 않은 자산을 공격하지 못하도록 전체 환경 이해

⦁R-RPO 목표 설정(Establish R-RPO Objectives) : 비즈니스 및 규제 요건에 맞춰 자산별 R-RPO 설정, 중요도에 따라 자산별 허용 데이터 손실 기간 정의

⦁데이터 무결성 평가(Assess Data Integrity) : 랜섬웨어 암호화와 맬웨어 탐지를 위한 심층 파일 검사 수행, 경계 방어를 우회한 위협 식별과 백업 무결성 확인

⦁방어 유지(Defend Continuously) : 위협 경보를 SIEM에 통합하고 마지막으로 알려진 클린 백업 보존, 위협 확산 전 신속 대응과 복구 옵션 유지

⦁개선 지속(Yield Improvements) : 랜섬웨어 대비 보고서 검토(보호 범위, 최신 백업 기간 등) 및 필요 시 조정, 실제 지표를 R-RPO 목표 및 비즈니스/규제 요구 사항에 맞춰 재검토

이 플레이북을 통해 기업은 랜섬웨어 RPO와 RTO를 항상 충족하며 랜섬웨어 공격에 대한 복원력을 유지할 수 있다.