#. 8월 첫째주에 전체 하계 휴가를 떠난 A제약회사. 휴가 복귀 후 의약품 일련번호를 관리하는 서버가 랜섬웨어에 걸린 것을 확인했다. 백업 서버까지 랜섬웨어에 감염돼 데이터 복구를 포기한 상황에서 시점복구 솔루션 '로즈(Rose) HA'가 숨겨놓은 백업데이터를 발견했다. A제약회사는 1시간 내에 데이터를 손실없이 복구했다.

이중화 서버에 적용하는 시점 복구 솔루션이 랜섬웨어를 방어한 사례가 발견됐다. 데이터 확장자를 바꿔 파일을 보관한 탓에 랜섬웨어 감염을 막았다.

ESK솔루션(대표 김중구)은 총판을 맡은 로즈 HA 시점복구 솔루션이 랜섬웨어 공격으로부터 고객사 데이터를 보호했다고 27일 밝혔다.

로즈 HA는 시점복구가 가능한 이중화 솔루션이다. '데이터 시점 복구(Point in time Rollback)'가 핵심 기능이다. 시스템 장애 시 서비스 연속성 유지를 위해 이뤄지는 실시간 복제에 특정 시점을 지정, 해당 시점까지 복구한다. 장애 발생 시 손상된 데이터를 복제·복원한다.

A제약회사에 들어온 랜섬웨어도 데이터 시점 복구로 방어가 가능했다. A제약회사는 윈도용 '로즈 미러(Mirror) HA'를 탑재했다. 로즈 미러 HA는 로컬디스크·스토리지 시스템을 네트워크를 통해 실시간으로 복제하고 이중화로 구성한다. 숨겨진 영역에 파일 확장자를 바꿔 데이터를 백업한다.

김중구 ESK솔루션 대표는 “망이 분리된 서버에서 랜섬웨어 감염을 피한 사례는 있었지만, 랜섬웨어 공격을 받은 서버 내에 있던 데이터를 보호한 사례는 흔치 않을 것”이라며 “파일 확장자를 바꾸고 OS 숨겨진 영역에 데이터를 보관한 점이 주효한 것으로 보인다”고 말했다.

ESK솔루션은 지난 5월 기승을 부린 워너크라이(WannaCry) 랜섬웨어 이후 기업·기관의 로즈 HA 솔루션 도입이 늘었다고 밝혔다. 로즈 HA는 지난해 5~8월 82개가 판매됐지만 올해 5~8월 사이에 242개로 판매가 급증했다. 대기업 제조현장과 통신사, 은행, 공공기관 등에서 로즈 HA를 구입했다.

김 대표는 “로즈 HA가 데이터 시점 복구 기능이 있어 기업 도입 문의가 늘었다”며 “실제 도입 건수도 전년보다 눈에 띄게 증가했다”고 밝혔다.

보안업계는 해당 랜섬웨어가 특정 확장자만 감염하는 랜섬웨어 종류인 것으로 보고 있다. 우리나라에서 흔히 발견되는 랜섬웨어는 아니다.

최상명 하우리 CERT실장은 “해당 랜섬웨어는 네메시스(nemesis) 랜섬웨어로 특정 확장자만 감염하는 것으로 보인다”며 “케르베르(Cerber) 록키(Locky) 랜섬웨어처럼 우리나라에서 흔히 발견되는 유형처럼 이메일을 통해 들어오지 않고 서버 취약점을 타고 들어오는 것으로 보인다”고 분석했다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com