[보안 권고] 랜섬웨어 대응을 위한 데이터 백업 보안 수칙
안녕하세요, 안랩입니다.
2025년 7월 들어 국내외에서 발생한 랜섬웨어 사고 분석 결과, 공격자가 백업 데이터를 선제적으로 암호화 또는 삭제하여 복구 자체를 불가능하게 만드는 진화된 랜섬웨어 공격이 급증하고 있습니다.
이러한 공격은 기존 보안 수칙만으로는 데이터 손실에 대한 방어가 어려우니 백업 체계 자체에 대한 보안 강화가 필수적인 상황입니다.
이에 따라 한국인터넷진흥원(KISA)에서 발표한 '데이터 백업 보안 수칙' 8가지 항목을 공유 드리니, 데이터 자산 보호를 위하여 적극적인 실천을 권고드립니다.
최근 랜섬웨어 위협 동향
- 백업 저장소 직접 타깃: 감염 전 백업 파일 탐색 후 암호화·삭제
- 시스템 복원 기능 무력화: 쉐도우 복사본 삭제, NAS·SAN까지 공격 대상 확대
- 동시 다발적 공격: 중소기업부터 대기업까지 산업불문 다중 침투 시도
- 이중 갈취 수법 확산: 암호화 + 정보유출 협박 병행
데이터 백업 8대 보안수칙(KISA)
No. |
보안수칙 |
내용 |
1 |
오프사이트 운영 |
중요 데이터는 반드시 서비스 망과 분리된 오프사이트(클라우드, 외부 저장소 또는 오프라인)에 백업하여 운영 ※ 동일 망에 백업 데이터를 보관‧운영 중 동시에 감염되어 복구에 어려움을 겪음 |
2 |
3-2-1 보관 전략 | 중요 데이터 3개 사본 보유, 2개는 서로 다른 저장매체, 1개는 오프사이트에 백업‧운영 |
3 |
접근 통제 및 권한 관리 | 백업 저장소에 대한 최소 접근권한 적용, 백업 담당자 외 접근을 차단(가능 시, 백업 저장소에 OTP 등 다단계 인증 적용) |
4 |
백업 서버 모니터링 | 백업 서버와 데이터의 무결성을 점검할 수 있는 백신 또는 EDR 설치 등 보안 모니터링 체계를 구축 |
5 |
정기적 복구 훈련 수행 | 연 1회 이상 복구 훈련을 통해 실제 복구 가능성을 검증 |
6 |
최신 보안패치 적용 | 백업 서버와 SW는 보안 업데이트·패치를 신속하게 적용 |
7 |
백업 전 무결성 검증 | 감염된 원본이 백업을 덮어쓰지 않도록 백업 전 무결성을 검증 |
8 |
주기적 자동 백업체계 운영 | 일간/주간/월간 백업 자동화를 통해 실수나 누락을 방지 |
출처: 랜섬웨어 대응을 위한 데이터백업 8대 보안 수칙 > 보안공지 > 알림마당 : KISA 보호나라&KrCERT/CC
안랩의 권고사항
랜섬웨어는 이제 백업 시스템까지 공격 대상으로 삼고 있으므로, 고객사 내부 백업 환경을 위 수칙에 따라 전면 점검 및 개선하시기를 권고 드립니다.
특히 오프사이트 분리, 접근제어 강화, 정기 훈련은 복구 성공률을 결정짓는 핵심 요소입니다.