IEEE 컴퓨터 학회에 따르면, 팬데믹이 시작된 이후 랜섬웨어 사고 건수는 두 배 이상 증가했으며, 그 여파는 IT 부서를 훨씬 넘어 확산되고 있다. 영란은행(Bank of England)이 2025년 3분기 국내총생산(GDP) 성장 둔화의 직접적인 원인으로 재규어 랜드로버(JLR)의 사이버 공격을 지목했을 때, 이는 사이버 사건이 국가 차원에서 영국 경제에 실질적인 피해를 입힌 첫 사례로 기록되었다. 같은 해, 영국 소매업체 마크스 앤 스펜서(M&S)는 사이버 공격으로 인한 피해 복구 비용이 3억 파운드를 초과할 것으로 추산했다. 한편, 영국 국가사이버보안센터(NCSC)는 주요 사이버 공격 건수가 130% 증가했다고 밝혔다.
위협 환경이 급속도로 변화함에 따라 기존의 방어 체계만으로는 점점 더 대응하기 어려워지고 있습니다. Anthropic의 ‘프로젝트 글래스윙(Project Glasswing)’은 이미 모든 주요 운영 체제와 브라우저에서 수천 건의 미공개 제로데이 취약점을 발견했으며, AI는 이러한 결함을 발견하고 공격 수단으로 활용하는 데 드는 비용을 근본적으로 대폭 낮췄습니다. 새로운 악성코드 변종이 시그니처 데이터베이스가 업데이트되는 속도보다 더 빠르게 생성될 수 있게 되면서, 공격의 경제성은 영구적으로 공격자에게 유리하게 바뀌었습니다.
오늘날 금융 서비스 기업들이 취하고 있는 조치
모든 주요 관할권의 규제 당국은 더 이상 조직에 백업 시스템이 있는지 묻는 단계를 넘어, 이제 표적형 악의적 사이버 공격으로부터 복구할 수 있음을 입증할 수 있는지 묻고 있다.
유럽 디지털 운영 복원력 법(DORA) 제12조는 금융 기관이 “원본과 물리적·논리적으로 분리된” 시스템을 사용하여 데이터를 복구할 것을 요구하고 있습니다. 영란은행(Bank of England), 신중한 규제 당국(PRA), 금융행위감독청(FCA)은 시스템적으로 중요한 금융 기관들이 강화된 사이버 대응 및 복구 역량을 입증하도록 요구하는 지침을 공동으로 발표했다.
미국 증권거래위원회(SEC)는 이제 중대한 사이버 사고 발생 시 4영업일 이내에 이를 공시하도록 의무화하고 있다.
홍콩 금융관리국(HKMA), 인도 증권거래위원회(SEBI), 네트워크 및 정보 보안 지침 2(NIS2), 영국의 시장 간 운영 복원력 그룹 (CMORG)의 ‘클라우드 호스팅 데이터 볼팅 모범 사례 가이드’를 포함한 기타 규제 및 업계 프레임워크들은 모두 다음과 같은 동일한 기대치를 제시하고 있습니다:
분리된 복구 환경
입증 가능한 데이터 무결성
문서화된 대응 역량
이러한 요구 사항들을 종합해 보면, 이는 기존의 운영 백업 솔루션이 제공하도록 설계된 수준을 훨씬 뛰어넘는 것입니다.
대부분의 규제 대상 기업들은 이에 대응하여 기존의 백업 및 재해 복구 전략을 강화했습니다. 이들은 백업 사본 수를 늘리고, 복제 빈도를 높이며, 장애 전환 속도를 개선하고, 재해 복구 예산을 확대하는 데 투자했습니다. 이러한 대응은 충분히 이해할 수 있는 일입니다. 왜냐하면 이러한 도구들은 수십 년 동안 하드웨어 고장, 자연재해, 실수로 인한 데이터 삭제 등의 상황에서도 업계에 큰 도움이 되어 왔기 때문입니다.
문제는 랜섬웨어가 그 어떤 것에도 해당하지 않는다는 점입니다. 랜섬웨어는 사용자의 복구 메커니즘이 작동하지 못하게 만들도록 고안된, 표적화된 적대적 공격입니다.
가용성, 비즈니스 연속성/재해 복구(BC/DR), 백업이 왜 이런 용도로 설계되지 않았는지
고가용성 및 비즈니스 연속성/재해 복구(BC/DR) 시스템은 데이터를 실시간으로 복제합니다. 랜섬웨어가 주 환경의 데이터를 암호화할 경우, 해당 암호화 정보는 공격이 탐지되기 전에 이미 보조 환경으로 복제되는 경우가 많습니다. 그 결과, 데이터의 두 사본 모두 손상될 수 있습니다.
기존 백업 시스템은 또 다른 과제에 직면해 있습니다. 공격자들은 종종 공격을 개시하기 전까지 수 주간 탐지되지 않은 채 환경에 잠복해 있습니다. 공격자가 30일 동안 시스템에 침투해 있었다면, 그 기간 동안 생성된 백업 파일 중 상당수는 이미 악성코드나 기타 악의적인 변경 사항이 포함되어 있을 수 있습니다. 이러한 백업 파일을 통해 시스템을 복원할 경우, 데이터와 함께 위협 요소도 다시 유입될 수 있습니다.
현대 랜섬웨어 운영자들은 이러한 아키텍처를 훤히 꿰뚫고 있습니다. 이들은 백업 인프라를 표적으로 삼아 섀도 복사본을 삭제하고, 백업 카탈로그를 암호화하며, 백업 관리자 인증 정보를 탈취합니다. 복구 능력을 완전히 무력화시키면 피해자가 결국 돈을 지불할 수밖에 없다는 사실을 잘 알고 있기 때문입니다. 이들의 비즈니스 모델 전체는 조직에 실행 가능한 대안을 전혀 남기지 않는 데 달려 있습니다.
기업 보안 스택에는 이러한 도구들 중 어느 것도 해결하지 못하는 구조적인 공백이 존재합니다. 방화벽은 경계에서 트래픽을 검사합니다. 엔드포인트 탐지 및 대응(EDR)은 엔드포인트에서 실행 중인 프로세스를 검사합니다. 보안 정보 및 이벤트 관리(SIEM)는 로그와 트래픽 패턴을 분석합니다. 하지만 그 어떤 것도 사용자의 저장 장치에 있는 파일 내부를 살펴보지 않는데, 바로 그곳이 공격자가 심어 놓은 것이 자리 잡는 곳입니다. 랜섬웨어 배포부터 데이터 스테이징, 파일 암호화에 이르기까지 모든 침투 후 활동은 데이터 계층에 흔적을 남깁니다. 해당 계층을 검사하는 것이 없다면, 침해는 사용자가 보유한 모든 보호 메커니즘을 뚫고도 탐지되지 않은 채 지속됩니다.
Qumulo가 이 문제를 어떻게 해결하는지
Qumulo는 랜섬웨어 문제의 양측면, 즉 데이터 손상이 확산되기 전에 이를 방지하고, 공격자의 측면 이동 범위 밖에서 안전하게 유지되는 신뢰할 수 있는 격리된 복구 환경을 확보하는 현대적인 사이버 복원력 아키텍처를 선보입니다. Qumulo는 능동적 보호 기능과 아키텍처적으로 격리된 복구 환경을 결합함으로써, 침해 발생을 전제로 하면서도 복구 가능성을 보장하는 랜섬웨어 복원력의 새로운 표준을 제시합니다.
NeuralProtect: 스토리지 계층에서의 탐지
Qumulo NeuralProtect는 Qumulo 스토리지 플랫폼에 직접 내장된 실시간 랜섬웨어 및 악성코드 탐지 기능입니다. 알려진 시그니처나 네트워크 트래픽을 통한 행동 추론에 의존하는 기존 방식과 달리, NeuralProtect는 ‘딥 파일 검사(Deep File Inspection)’ 기술을 사용하여 모든 파일이 스토리지에 기록되는 순간 이를 열어 분석합니다. 이 솔루션의 다중 모드 탐지 엔진은 알려진 악성코드 계열은 물론, 아직 분류된 적이 없는 제로데이 랜섬웨어까지 모두 식별합니다. 위협을 탐지하면 즉시 악성 세션을 종료하여 파일의 수평적 암호화를 차단하는 동시에, 정상 상태를 보존하기 위한 방어용 스냅샷을 생성하고, 검증된 깨끗한 데이터를 통해 신속한 복구를 가능하게 합니다. 이는 별도의 인프라가 필요한 추가 에이전트나 타사 통합 솔루션이 아닙니다. 공격자가 피해를 입히는 바로 그 지점인 스토리지 계층 자체에 내장된 보호 기능입니다.
Qumulo Cloud Data Vault: 측면 이동 차단
Qumulo Cloud Data Vault는 Qumulo Cloud Native 배포 환경을 기반으로 구축된 검증된 아키텍처 패턴으로, 비즈니스에 필수적인 데이터를 위해 격리되고 변경 불가능한 복구 환경을 조성하도록 설계되었습니다. 이는 별도의 제품이 아니라, 기존의 Qumulo 기능을 활용하여 사이버 복원력을 제공하는 아키텍처입니다.
이 볼트는 프로덕션 환경과 지속적인 연결이 없는 별도의 클라우드 계정에 위치하므로, 침해된 시스템에서 볼트로 이어지는 측면 경로가 존재하지 않습니다. 볼트 내의 스냅샷은 암호화 키를 사용하여 잠겨 있으므로, 개인 키가 없는 침해된 관리자라 하더라도 잠긴 스냅샷을 삭제하거나 만료 기간을 단축할 수 없습니다. 볼트와의 연결은 예약된 복제 시간대 동안에만 가능하며, 이는 테이프 라이브러리에서 테이프를 제거한 것과 같은 물리적 에어갭을 모방한 것이지만, DORA, CMORG 및 잉글랜드 은행의 모범 사례 지침과 같은 규제 요건을 충족하는 클라우드 네이티브 아키텍처를 통해 구현됩니다.
복합 효과
이 두 가지 기능은 백업만으로는 해결할 수 없는 근본적인 문제를 함께 해결하며, 현재 금융 서비스 업계에 가중되고 있는 규제 당국의 기대 사항을 직접적으로 충족시킵니다. NeuralProtect는 쓰기 시점에 데이터를 검사하므로, 백업, 복제 및 저장소 계층으로 유입되는 데이터가 원본에서 이미 안전함이 검증된 상태입니다. 이러한 검사가 없다면, 하류의 모든 보호 계층은 잠재적으로 손상된 데이터를 보존하면서 이를 복원력이라고 칭하게 될 것입니다.
NeuralProtect가 공격을 조기에 탐지하면, 기존 백업 및 재해 복구(DR) 사본은 안전하고 사용 가능한 상태로 유지됩니다. 만약 정교한 공격이 초기 탐지를 피하고 나중에 발견되더라도, Qumulo Cloud Data Vault는 공격자가 접근한 적이 없는 환경에 저장된, 침해 발생 이전의 검증 가능한 안전한 복구 지점을 제공합니다.
DORA 제12조는 “최고 수준의 데이터 무결성”을 보장하기 위해 복원된 데이터가 “다중 점검 및 대조” 과정을 거쳐야 한다고 규정하고 있습니다. NeuralProtect의 Deep File Inspection 기능은 복원 시점뿐만 아니라 지속적으로 적용되어 바로 이러한 검증 기능을 제공합니다.
CMORG 클라우드 호스팅 데이터 볼팅 모범 사례 가이드에 따르면, 볼팅된 데이터는 프로덕션 환경과 지속적인 연결이 없는 환경에 저장되어야 하며, 암호화 기반의 불변성을 갖추고 정의된 복제 시간대를 따라야 합니다. Qumulo 클라우드 데이터 볼트는 이러한 사양에 따라 구축되었습니다.
SEC의 4일 공개 기한은 공격이 발생한 시점이 아니라, 기업이 해당 사건이 중대한 사안이라고 판단한 시점부터 시작되며, 이러한 판단은 부당한 지연 없이 이루어져야 합니다. 중대성은 합리적인 투자자가 의사 결정에 있어 이를 중요하게 여길지 여부에 따라 평가됩니다. 조직은 모호함을 용납할 여유가 없습니다. NeuralProtect의 실시간 탐지 기능을 통해 보안 팀은 공격이 데이터 계층에 도달했는지, 복구 지점이 여전히 유효한지 여부를 즉시 파악할 수 있어, 해당 평가 기간을 몇 주에서 몇 분으로 단축할 수 있습니다.
이 두 가지 기능을 결합함으로써, 각 관할권의 규제 당국이 현재 요구하고 있으며 백업 기능만으로는 제공할 수 없는 다음과 같은 기능을 실현합니다. 즉, 암호화가 완료되기 전에 위협을 탐지하고, 침해된 세션을 실시간으로 격리하며, 분리되고 변경 불가능한 환경에서 중요 데이터를 보호하고, 몸값을 지불하지 않고도 데이터를 깨끗하게 복구할 수 있는 능력입니다.
결론
랜섬웨어는 기업의 생존을 좌우하는 문제이며, 이를 성공적으로 극복하는 조직은 기존의 운영 복원력 도구가 다른 시대의 위협을 대비해 설계되었다는 사실을 인식한 곳일 것입니다. 영국 중앙은행(Bank of England)은 GDP 전망에 사이버 공격을 고려하고 있습니다. DORA는 EU 전역에서 강제 적용됩니다. PRA와 FCA는 시스템적으로 중요한 기업을 위한 ‘효과적인’ 사이버 복구 방안이 어떤 모습이어야 하는지에 대한 공동 지침을 발표하고 있습니다. SEC는 사이버 보안 거버넌스에 대해 이사회 구성원들에게 개인적 책임을 묻고 있습니다. 보험사들은 보험금 청구액이 보험료를 초과함에 따라 사이버 보험 시장에서 철수하고 있으며, 시장에 남아 있는 보험사들은 보험 계약을 체결하기 전에 분리된 복구 아키텍처에 대한 증거를 요구하고 있습니다.
백업은 랜섬웨어 방어 수단이 아닙니다.
재해 복구는 랜섬웨어 방어 수단이 아닙니다.
비즈니스 연속성은 랜섬웨어 방어 수단이 아닙니다.
이 모든 것은 운영 탄력성의 필수 요소이지만, 이러한 요소들이 실패하도록 만드는 데 전적으로 전략을 둔 표적형 공격자를 견뎌내도록 설계된 적은 없습니다. 더 중요한 점은, 이러한 요소들이 더 이상 규제 기준을 충족하지 못한다는 것입니다. 규제 당국은 단순히 백업에서 복구할 수 있는지 여부를 묻는 것이 아닙니다. 또한 복구 환경이 분리되어 있는지, 데이터 무결성을 입증할 수 있는지, 그리고 마지막으로 정상으로 확인된 사본이 진정으로 안전하다는 것을 증명할 수 있는지 여부도 묻고 있습니다.
Qumulo NeuralProtect와 Qumulo Cloud Data Vault는 조직이 규제 당국이 점점 더 요구하고 있는 역량을 구축할 수 있도록 지원합니다. 쓰기 시점에 위협을 탐지하고, 격리된 복구 환경에서 중요한 데이터를 보존하며, 검증된 무결성 사본을 통해 복구함으로써 사이버 복원력을 강화하고 랜섬웨어 공격에 대비한 입증 가능한 복구 전략을 뒷받침합니다.
Qumulo NeuralProtect와 Cloud Data Vault가 어떻게 연동되는지 확인해 보시겠습니까? 다음에서 데모를 신청하세요 qumulo.com/product/neural-protect 또는 다음을 읽어보세요. NeuralProtect 솔루션 개요 자세한 내용을 보려면.
저자 소개
톰 태스커 Qumulo의 수석 클라우드 솔루션 아키텍트로, EMEA 및 APJ 지역의 금융 서비스 및 규제 대상 산업을 대상으로 클라우드 데이터 보호 및 랜섬웨어 대응 역량 강화에 주력하고 있습니다. 그는 AWS 스토리지 블로그 게시물의 공동 저자입니다. 설계를 통한 복원력: 효과적인 랜섬웨어 복구 전략 수립, 그리고 러프버러 대학교에서 ‘현대 데이터 아키텍처’에 관한 강의를 하고 있습니다.