우수한 백업과 적절한 백업을 유지하는 것이 운영 중단 공격의 핵심 요소이다. 예를 들어,
시스템을 납치하는 랜섬웨어 공격일 경우 시스템을 종료하고 마지막으로 알려진 안전한 상태로
재구성할 수 있다고 확신하기는 쉽지 않다. 실질적으로 시도해 본 적도 많지 않을 것이다.
OT 공간에는 다양한 유형의 백업이 있음을 인식하는 것이 중요하다. 차등 백업을 수행할지
또는 일일 전체 백업을 수행할지는 실제로 정보가 얼마나 자주 변경되는지, 그리고 적절한 시간
내에 시스템을 복원하는 데 필요한 작업에 따라 달라질 수 있다. 많은 OT 시스템에서 구성 수준
정보는 자주 변경되지 않지만 프로세스 제어 데이터는 몇 초마다 변경될 수 있다.
복구 시간의 목표는 무엇인가? 시스템을 사용할 수 없는 상태에서 작업은 얼마나 가능한가?
OT 환경에서는 허용되는 기간이 매우 짧다. 완전히 복구를 위하여 비즈니스 운영에 허용되는
가장 짧은 시간이 될 것이다. 복구 시간 목표를 파악하면 손실을 감수할 수 있는 데이터의 양을
파악할 수 있다. 구성 및 프로세스 제어 데이터를 정의할 수 있으며, 백업의 형태를 결정해야
한다. 백업 시 고려해야 할 또 다른 사항은 공격 발생 시 정확히 어떤 일이 발생했는지 보여주는
데 필요한 데이터를 보유하는 것이다. 범죄행위의 결과라면 공격이 어디에서 이루어졌고,
환경에 어떻게 침투했는지를 확인할 수 있어야 한다. 사이버 보안 보험과 관련이 있다면, 관련
주장을 위하여 법의학적 정보가 필요하다. 이 모두는 사용자가 포착하는 운영 데이터가 되어야
한다.
백업 및 복원은 일련의 복구 단계를 수행해야 하는 재해 복구 계획에 포함되어야 한다.
체크리스트를 만드는 것도 필요하지만 연습도 요구된다. 하지만 생산 환경에서 쉽게 할 수
있는 일은 아니다. 중요한 작업의 경우 운영 환경과 동일한 장비로 별도의 환경을 설정하고 재해
복구의 실행에 활용할 수 있다.
시스템을 납치하는
랜섬웨어 공격일 경우
시스템을 종료하고
마지막으로 알려진 안전한
상태로 재구성할 수
있다고 확신하기는 쉽지
않다. 실질적으로 시도해
본 적도 많지 않을 것이다.
