IBM “망분리 완화, 스토리지 차원 랜섬웨어 대응 고민해야”
첨부파일(1)
금융위원회가 지난 8월 망분리 규제 개선 로드맵을 발표함으로써 금융사의 서비스형소프트웨어(SaaS) 도입과 생성형 인공지능(AI) 활용에 길이 열렸다. 하지만 사내망 외부 서비스의 적극적인 채택은 악의적 사이버 공격에 노출될 가능성도 함께 높인다. 특히 랜섬웨어는 막대한 피해를 초래할 수 있어 적절한 대비책 마련이 필요하다.
김영두 한국IBM 인프라스트럭처 테크니컬 스페셜리스트 실장은 29일 <바이라인네트워크>가 양재 엘타워에서 개최한 ‘2024 금융 테크 컨퍼런스’에서 “훌륭한 보안 솔루션으로 공격을 방어하고 예방하더라도 공격 당할 가능성이 약간은 있다”며 “이를 염두에 두고 스토리지 수준에서 보호할 수 있는 솔루션이 필요하다”고 밝혔다.
사이버 복원력 강화를 위한 IBM 스토리지 솔루션을 주제로 발표한 김영두 실장은 “IBM의 플래시스토리지 시스템은 데이터 레질리언시를 위한 스토리지로 메인 시스템에 고성능, 고효율, 고가용성을 제공함과 동시에 사이버 데이터 복원 역량도 내장했다”며 “스토리지 입장에서 사이버 위협을 빠르게 탐지하고, 데이터를 즉시 복구하게 하는 게 특징”이라고 설명했다.
하이엔드급 모델인 IBM 플래시시스템 9500의 경우 800만IOPS 성능과 50마이크로초 응답속도를 제공하며, 스케일아웃 형태로 장비를 늘리면 용량과 성능이 함께 선형적으로 증가한다. 4U 크기 장비에 2.5인치 플래시드라이브 48개를 장착해 최대 4페타바이트(PB)까지 이용할 수 있다. 가용성은 보급형부터 최고사양 제품까지 동일하게 99.9999%를 보장한다.
IBM 플래시시스템은 소프트웨어로 ‘스토리지 버추얼라이즈’와 ‘스토리지 인사이트’를 포함한다. 펌웨어인 스토리지 버추얼라이즈는 플래시드라이브 차원에서 랜섬웨어 감염 여부를 탐지하며, 관리운영도구인 스토리지 인사이트는 감염 여부를 운영자에게 알려 조치를 취하게 돕는다.
IBM 스토리지의 데이터 레질리언시 기능은 신속한 위협탐지, 데이터 문제 발생 시 특정 시점으로 복구하는 안전복사본, 유지된 데이터를 활용한 빠르고 쉬운 복구 등이 특징이다.
김영두 실장은 “랜섬웨어는 한번에 모두를 감염시키기도 하지만, 조금씩 감염시켜 확장하는 경향을 많이 보이므로, 감염되는 절차를 더 빨리 눈치채서 차단하고 데이터를 빨리 살려내야 한다”며 “이를 통해 피해를 줄이고, 복구영역을 줄이자는 취지에서 시작된 게 사이버 데이터 레질리언시”라고 설명했다.
김 실장은 “여기에 사이버침해로부터 미션크리티컬 데이터를 잘 유지, 보호하고 복구할 수 있는 사이버볼트 아키텍처를 합치게 된다”고 덧붙였다.
IBM 플래시시스템은 ‘플래시코어모듈(FCM)’이란 IBM 자체 플래시드라이브를 활용한다. FCM은 성능과 용량이 강점뿐 아니라 성능저하 없는 데이터 압축과 암호화를 기본으로 처리하며, 데이터의 랜섬웨어 위협 감지 기능을 내장했다. 드라이브와 컨트롤로가 사이버 공격을 감지하고, 스토리지 버추얼라이즈의 추론 엔진에서 감염여부를 검증한다. 감염 시 스토리지 인사이트를 통해 랜섬웨어 감염을 사용자와 IBM에 알림을 보낸다. 이런 기능과 보안정보이벤트관리(SIEM), 보안오케스트레이션자동화대응(SOAR) 솔루션 등을 연동함으로써 후속 조치를 할 수 있게 한다.
아울러 안전한 복사본을 보관할 수 있게 ‘세이프가디드 카피’란 기능을 제공한다. 안전내부복제라 번역되는 이 기능은 스토리지 내부에서 수행된다. 복제본은 스토리지 관라자라 해도 수정이나 삭제할 수 없으며, 원본 운영 데이터와 논리적으로 차단돼 쉽게 접근할 수 없게 보관된다.
김영두 실장은 “복제본은 한 스토리지 안에서 복구하므로 수분 내에 복구를 할 수 있다”며 “에어갭으로 분리돼 있어 일반 관리자는 접근할 수 없고, 복제주기나 보관기간 등을 설정해 관리를 자동화할 수 있다”고 말했다.
이어 “복사본을 다시 복제해서 복제볼륨으로 데이터에 문제 있는지를 검증할 수 있다”며 “데이터에 문제 없다면 그것으로 바로 운영시스템을 복구할 수 있다”고 덧붙였다.
IBM 플래시시스템은 ‘다중인증(TPI)’를 채택했다. 복사본에 접근할 수 있는 사용자는 ‘슈퍼유저(Superuser)’ 등급뿐인데, 최고등급 사용자 계정도 해킹당할 수 있다. 이 경우 최고등급 관리자 계정을 정지시킨 뒤 그 하위 등급의 관리자 2명이 동의해야 다음 운영 절차를 진행할 수 있게 한다.
김영두 실장은 “최근 미국 백악관이 랜섬웨어 침해의 심각성을 인식해 이를 막을 수 있는 다섯가지 방지대책을 만들었다”며 “암호화 시스템 구축, 오프라인 환경에 백업 구성, 다중인증요소, 엔드포인트 감지 대응, 정기적 테스트 수행 등인데 이를 IBM 스토리지 단에서 다 구현할 수 있다”고 강조했다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network