3-2-1 백업 전략이란 무엇인가? 예시 및 모범 사례

3-2-1 백업 전략이란?

3-2-1 백업 전략(3-2-1 백업 규칙이라고도 함)은 데이터 보호 프레임워크로, 세 가지 규칙에 기반합니다: 데이터의 3개 복사본을 유지하고, 2가지 다른 미디어 유형에 저장하며, 1개 복사본을 오프사이트에 보관하는 것입니다. Peter Krogh는 The DAM Book: Digital Asset Management for Photographers (O'Reilly Media, 2009)에서 이 개념을 공식화하여 기존 모범 사례를 기억하기 쉽고 실행 가능한 프레임워크로 정리했습니다. CISA의 백업 가이드에서는 이를 표준 백업 기준으로 인용하며, NIST CSF는 PR.DS-11 제어를 통해 그 원칙을 강화합니다: "데이터 백업이 생성, 보호, 유지, 테스트됩니다."

이 프레임워크는 IT가 아닌 사진 분야에서 시작되었으며, 이는 기술에 구애받지 않는 보편성을 강조합니다. 그러나 보편성에도 한계가 있습니다. 기존 3-2-1은 하드웨어 장애와 사이트 재해를 위해 설계되었으며, 백업 인프라를 겨냥한 공격에는 대응하지 못합니다. 랜섬웨어 공격자는 이제 백업을 우선적으로 노려 복구 옵션을 파괴한 후 금전을 요구합니다. 이러한 변화로 인해 구현 전에 이해해야 할 현대적 변형이 등장했습니다.

3-2-1 백업 전략과 사이버보안의 관계

백업 전략은 과거에는 IT 운영의 영역이었습니다. 랜섬웨어로 인해 이제는 보안팀의 책임이 되었습니다.

NIST SP 800-209는 랜섬웨어가 NAS 및 백업 어플라이언스와 같은 기타 저장소 구성요소까지 포함하도록 진화했음을 명시적으로 경고하며, 이를 통해 자격 증명 탈취, 권한 상승, 데이터 손상, 손실 또는 변경, 향후 백업의 손상 등이 가능해졌다고 설명합니다. 공격자가 백업 인프라를 침해하면, 3-2-1 전략은 복구 가능한 사고와 장기 중단을 가르는 기준이 됩니다.

Beast 랜섬웨어 보고서에서는 백업 파괴 기법이 랜섬웨어 생태계 내에서 공유되는 의도적인 전술로 설명되었습니다. 이제 백업은 안전망이 아니라 주요 공격 대상이며, 백업 전략 자체가 보안 통제 수단입니다. 프레임워크의 각 구성요소를 이해하는 것이 방어의 첫걸음입니다.

3-2-1 백업 전략의 핵심 구성요소

3-2-1 프레임워크의 각 구성요소는 특정 장애 유형을 해결합니다. CISA의 백업 옵션 가이드와 NCCoE 백업 표준은 세 가지를 공식적으로 정의합니다:

• 데이터 3개 복사본(1차 + 2개 백업) 모든 시나리오에서 단일 장애 지점을 제거합니다. 하나의 백업이 손상되거나 삭제되어도 두 번째 독립 복사본이 남습니다. 이는 기본 중복성입니다.
• 2가지 다른 미디어 유형 디스크 어레이와 클라우드 오브젝트 스토리지, SSD와 테이프 등 서로 다른 저장 기술에 복사본을 저장합니다. RAID 어레이 장애는 테이프 라이브러리에 영향을 주지 않습니다. 클라우드 제공업체 장애는 온프레미스 저장소에 영향을 주지 않습니다. 미디어 다양성은 기술별 치명적 장애로부터 보호합니다.
• 1개 오프사이트 복사본 최소 1개 복사본은 주 사이트와 지리적으로 분리된 위치에 보관합니다. 화재, 홍수, 물리적 도난, 또는 네트워크를 통한 랜섬웨어 확산은 단일 사이트의 모든 것을 파괴할 수 있습니다. 지리적 분리는 피해 범위를 제한합니다.

이 세 가지 구성요소가 기본을 이루지만, 현대 공격 패턴은 원래 프레임워크가 설계하지 않은 취약점을 드러냈습니다.

현대적 변형: 3-2-1만으로는 충분하지 않은 이유

전통적인 3-2-1 백업 규칙은 장애가 우발적이라고 가정합니다. 현대 랜섬웨어 공격자는 백업 저장소를 적극적으로 노리고, 섀도 복사본을 삭제하며, 백업 관리자 자격 증명을 침해합니다. 세 가지 변형이 이 격차를 보완합니다:

• 3-2-1-1-0(엔터프라이즈 표준) 불변 또는 에어갭 복사본 1개와 검증된 복구 테스트를 통한 0 오류를 추가합니다. 이 변형은 현대 백업 가이드에서 더 강력한 엔터프라이즈 접근법으로 널리 제시됩니다. "0"은 백업 모니터링과 정기 복원 테스트를 요구하여, 실제 사고 중에 손상된 백업을 발견하는 일이 없도록 합니다.
• 3-2-1-1(중간 접근법) 3-2-1-1-0의 필수 검증 테스트 없이 오프라인 또는 불변 복사본 1개를 추가합니다. 전체 운영 복잡성 없이 더 강력한 랜섬웨어 복원력을 원하는 팀에 실용적인 단계입니다.
• 4-3-2(지리적 복원력 중점) 세 위치에 네 개 복사본을 유지하며, 두 개 복사본은 별도 네트워크의 오프사이트에 저장합니다. 이 변형은 지리적 분산과 다중 복구 경로를 우선시하여, 3-2-1-1-0의 불변성 중점과 구별됩니다.

변형 선택은 위험 프로필과 운영 성숙도에 따라 달라집니다. 다음 섹션에서는 실제 구현 방법을 설명합니다.

3-2-1 백업 전략 아키텍처

구현은 세 가지 계층에 걸쳐 이루어집니다: 저장소 아키텍처, 보호 통제, 검증 프로세스.

• 계층 1: 저장소 아키텍처 운영 환경에 1차 데이터를 배치하고, 빠른 복구를 위한 로컬 또는 네트워크 연결 저장소에 첫 번째 백업, 지리적으로 분리된 위치에 두 번째 백업을 배치합니다. 각 계층은 다른 복구 시나리오에 대응합니다: 로컬 백업은 개별 파일을 신속하게 복구하고, 오프사이트 백업은 사이트 수준 재해에서 복구합니다.
• 계층 2: 보호 통제 각 복사본에는 독립적인 접근 통제가 필요합니다.  CISA의 랜섬웨어 가이드에 따르면, 현대 랜섬웨어 공격자는 "백업 스냅샷 삭제 시도, 백업 저장소 암호화, 백업 소프트웨어 비활성화, [및] 침해된 자격 증명을 사용한 클라우드 백업 시스템 접근"을 시도합니다. 모든 백업 위치에 동일한 자격 증명을 사용할 경우, 하나의 계정이 침해되면 모든 복사본에 접근할 수 있습니다.

3-2-1-1-0 구현에서는 불변 복사본에 대해 설정된 보존 기간 동안 수정 또는 삭제를 방지하는 보존 잠금(retention lock)을 사용합니다. 에어갭 복사본은 데이터 전송 시점에만 네트워크 연결을 허용하는 엄격한 프로세스 통제와 물리적 또는 논리적 네트워크 분리가 필요합니다.

• 계층 3: 검증 CISA의 방어 가이드는 최소 7일간의 운영을 복구할 수 있도록 데이터 복원 검증을 권장합니다. 월간 파일 복원 검증, 분기별 애플리케이션 수준 복구 테스트, 연간 전체 환경 페일오버 연습이 실질적인 테스트 주기를 이룹니다. 3-2-1-1-0의 "0"은 테스트되지 않은 백업이 위기 상황에서 신뢰할 수 있는 복구 수단이 아님을 의미합니다.

SentinelOne의 Singularity Platform은 여기에 보완적인 방어 계층을 추가합니다. 행동 기반 AI가 보호된 엔드포인트의 작업을 지속적으로 추적하여 랜섬웨어 롤백 복구를 통해 감염 이전 상태로 복원할 수 있습니다. 에이전트는 랜섬웨어 변종이 암호화 전에 삭제를 시도하는 Windows Volume Shadow Copy Service(VSS) 인프라를 보호합니다.

구현 계층이 갖춰지면, 다음 단계는 전략을 실제로 적용하는 것입니다.

3-2-1 백업 전략 구현 방법

개념에서 운영 환경으로 전환하려면 구조화된 롤아웃이 필요합니다. 다음 단계는 범위 지정부터 검증까지 실질적인 구현 순서를 안내합니다.

1단계: 중요 데이터 식별 및 분류

조직 운영에 필수적인 데이터를 인벤토리로 작성하는 것부터 시작합니다. 여기에는 운영 데이터베이스, 애플리케이션 구성, 인증 자격 증명, 암호화 키, 복구 문서가 포함됩니다. 데이터의 비즈니스 중요도에 따라 분류하여 각 계층에 적절한 백업 빈도와 보존 기간을 할당합니다. 모든 데이터가 시간 단위 스냅샷이 필요한 것은 아니므로, 백업 주기를 실제 RTO 및 RPO 요구사항에 맞추면 과도한 리소스 사용과 누락을 모두 방지할 수 있습니다.

2단계: 두 가지 상이한 저장 미디어 선택

독립적인 장애 모드를 가진 두 가지 저장 기술을 선택합니다. 일반적인 조합은 다음과 같습니다:

• 로컬 디스크 또는 NAS + 클라우드 오브젝트 스토리지: 빠른 로컬 복구와 클라우드를 통한 지리적 분리
• SSD + 테이프(WORM): 고속 1차 백업과 물리적으로 오프라인인 2차 복사본
• 온프레미스 어레이 + 두 번째 클라우드 제공업체: 단일 벤더 침해에 대비한 멀티클라우드 중복성

목표는 하드웨어, 소프트웨어, 자격 증명 기반 등 한 미디어에 영향을 주는 장애가 다른 미디어에는 영향을 주지 않도록 하는 것입니다.

3단계: 오프사이트 복사본 구축

오프사이트 복사본은 주 사이트와 지리적, 논리적으로 분리되어야 합니다. 별도 리전 또는 제공업체로의 클라우드 백업은 실시간 동기화가 아닌 실제 예약 백업으로 구성될 경우 이 요건을 충족합니다. 3-2-1-1-0을 추구하는 조직은 이 단계에서 불변 저장소를 보존 잠금 및 독립 자격 증명과 함께 구성합니다.

4단계: 자동화 및 모니터링

수동 백업 프로세스는 운영 압박 속에서 실패합니다. 백업 일정, 보존 정책 적용, 실패 작업에 대한 알림을 자동화합니다. 백업 볼륨에서 이상 징후를 모니터링합니다: 예상치 못한 암호화 활동, 대량 파일 변경, 비백업 계정의 접근 등은 모두 침해 가능성을 나타냅니다. CISA의 랜섬웨어 가이드는 공격자가 백업 소프트웨어와 자격 증명을 노린다고 명시하므로, 백업 인프라 모니터링은 운영 시스템 모니터링만큼 중요합니다.

5단계: 복원 테스트 및 결과 문서화

복원된 적 없는 백업은 가정일 뿐, 통제가 아닙니다. 월간 파일 수준 복원, 분기별 애플리케이션 복구 테스트, 연간 전체 환경 페일오버를 실행합니다. 각 테스트의 실제 복구 시간을 문서화하여 RTO 목표가 추정이 아닌 현실을 반영하도록 합니다.

구현이 완료되면, 이 전략은 우발적 및 적대적 데이터 손실 시나리오 모두에서 조직에 여러 구체적 이점을 제공합니다.

3-2-1 백업 전략의 주요 이점

적절히 구현된 3-2-1 백업 전략은 복구, 규정 준수, 운영 복원력 전반에 걸쳐 측정 가능한 이점을 제공합니다.

• 랜섬 지불 없는 랜섬웨어 복구: 적절한 백업 아키텍처를 갖춘 조직은 공격자에게 의존하지 않고 암호화된 데이터를 복구할 수 있습니다. 검증된 백업은 대응자에게 공격자 협조에 의존하지 않는 복구 경로를 제공합니다.
• 인프라 침해에 대한 다계층 방어: 온프레미스와 클라우드 저장소를 결합한 하이브리드 백업 아키텍처는 한 환경이 완전히 침해되어도 복구 능력을 유지합니다. 온프레미스 백업은 일반 사고에 대한 빠른 복구를, 클라우드 백업은 재해 시나리오에 대한 지리적 분리를 제공합니다.
• 규정 준수 및 감사 정렬: 3-2-1 구조는 NIST CSF와 직접적으로 매핑되어 기본 데이터 보호 요구사항을 지원합니다. 이 매핑은 감사 준비 및 규정 보고를 단순화할 수 있습니다.
• 클라우드 벤더 종속성 감소: 멀티클라우드 백업 아키텍처는 단일 제공업체 보안 사고에 대한 노출을 줄입니다. CISA의 백업 가이드는 한 벤더의 모든 계정이 영향을 받는 시나리오에 대비해 멀티클라우드 솔루션 사용을 권장합니다.
• 분산 운영 환경에서의 RTO/RPO 관리: 로컬 복사본은 일상적 사고에 대한 신속한 복원을, 오프사이트 복사본은 치명적 사건에 대한 복구 능력을 보장합니다. 이 계층적 접근법은 모든 워크로드에 단일 복구 기준을 적용하는 대신, 실제 비즈니스 중요도에 맞춰 RTO 및 RPO를 조정할 수 있게 합니다.

이러한 이점은 불변성과 검증된 복구를 추가하는 3-2-1-1-0과 같은 현대적 변형과 결합될 때 더욱 강화됩니다.

3-2-1 백업 전략의 과제와 한계

3-2-1 프레임워크는 강력한 기초 보호를 제공하지만, 현대 환경에서는 한계가 드러납니다.

• 랜섬웨어가 백업을 적극적으로 파괴함 가장 큰 한계는 적대적 표적화입니다. 공격자는 복구 옵션을 제거하기 위해 백업을 손상 또는 삭제하려 시도합니다. 기존 3-2-1은 이 패턴에 대한 구체적 방어를 제공하지 않습니다. 백업이 운영 시스템에 연결되어 있으면, 공격자는 사고 대응이 시작되기 전에 이를 침해할 수 있습니다.
• 백업 인프라도 공격 표면임 백업 도구 자체에 취약점이 존재합니다.  CISA 취약점 게시판은 백업 소프트웨어의 인증 미들웨어가 API 엔드포인트에 제대로 적용되지 않아 인증 우회가 가능한 CVE-2025-68435를 문서화합니다. 백업 소프트웨어에도 다른 엔터프라이즈 시스템과 동일한 취약점 관리 원칙을 적용해야 합니다.
• 클라우드 동기화는 백업이 아님 클라우드 동기화 서비스는 오프사이트 복사본 요건을 충족하지 않습니다. 지속적 동기화는 랜섬웨어가 1차 데이터를 암호화할 경우 두 데이터 세트 모두 암호화됨을 의미합니다. 이 오해는 실제 보호 없이 잘못된 신뢰를 만듭니다.
• 불변성과 규정 준수 충돌 데이터 보존 및 삭제 요건이 불변성 설정과 충돌할 수 있습니다. 규제 환경에서 클라우드 기반 불변 저장소를 구현하기 전에, 보존 잠금과 데이터 보호 의무를 조율하기 위해 법적 검토가 필요할 수 있습니다.

이러한 한계는 관리가 가능하지만, 무시하면 공격자가 악용할 수 있는 취약점이 됩니다. 전략 자체의 한계 외에도, 구현 오류는 추가 위험을 초래합니다.

3-2-1 백업 전략의 일반적인 실수

의도는 좋더라도, 몇 가지 흔한 실수를 반복하면 백업 구현이 실패할 수 있습니다. 이러한 실수를 피하면 랜섬웨어 공격자가 의존하는 취약점을 줄일 수 있습니다.

• 모든 백업 위치에서 자격 증명 공유: 하나의 자격 증명이 침해되면 모든 복사본에 접근할 수 있어 지리적 분산의 의미가 사라집니다. 백업 시스템 자격 증명은 운영 자격 증명 저장소와 별도로 관리해야 합니다.
• 네트워크 연결 저장소를 "오프사이트"로 간주: 동일 네트워크의 백업 서버는 오프사이트가 아닙니다. 네트워크를 통한 랜섬웨어 확산은 인접 저장소까지 도달합니다. 진정한 네트워크 및 지리적 분리는 별도 시설을 의미하며, 동일 데이터센터 내 별도 서버가 아닙니다.
• 복원 테스트 미실시: SANS 뉴스레터의 전문가 평가는 전통적 3-2-1 복사 전략이 미션 크리티컬 애플리케이션의 수시간~수일 복구를 보장하지 않는다고 지적했습니다. 전체 복원을 테스트한 적이 없다면, 백업 전략이 아니라 희망 전략에 불과합니다.
• 증분 백업만 실행: 단일 증분 백업이 손상 또는 삭제되면 전체 복원 체인이 깨집니다. 정기적인 전체 백업이 전체 체인 실패를 방지합니다.
• 백업 계정 과도 권한 부여:  CISA의 백업 가이드에 따르면, 도메인 관리자 권한을 가진 백업 계정은 고가치 표적이 됩니다. 루트 접근 계정은 일상 백업 작업에 사용해서는 안 됩니다.  제로 트러스트 원칙을 적용하여 최소 권한만 부여해야 합니다.
• 백업 소프트웨어 패치 무시: 백업 인프라에도 다른 소프트웨어와 마찬가지로 CVE가 존재합니다. 백업 관리 콘솔도 엔드포인트 보안만큼 신속하게 패치해야 합니다.
• 복구 의존성 백업 범위 제외: NIST 백업 가이드라인은 백업 계획에 비밀번호, 디지털 인증서, 암호화 키 등 신속한 운영 재개에 필요한 정보를 포함해야 한다고 명시합니다. 데이터를 백업하면서 복호화 키를 백업하지 않으면 백업이 없는 것과 동일한 결과를 초래합니다.

이러한 오류는 3-2-1 아키텍처의 실질적 보호 효과를 저하시킵니다. 다음 모범 사례는 이를 직접적으로 해결합니다.

3-2-1 백업 전략 모범 사례

다음 여섯 가지 실천은 우발적 장애와 백업 인프라를 겨냥한 공격 모두에 대해 3-2-1 구현을 강화합니다.

1. 보존 잠금이 적용된 불변 저장소 배포 강화된 백업 저장소는 일회용 자격 증명, 비활성화된 루트 접근, 불필요한 프로토콜 제거를 사용해야 합니다. 목표는 관리 서버가 침해되어도 수정이 어려운 저장소입니다.
2. 에어갭 복사본 구축 NIST 백업 가이드는 RPO 및 RTO 요건을 충족하는 주기로 백업 파일을 오프라인으로 보호할 것을 지시합니다. 물리적 에어갭과 논리적 분리 모두 엄격한 접근 통제와 함께 유효한 구현입니다.
3. 모든 데이터 암호화 및 복원 권한 제한 모든 백업 데이터를 저장 및 전송 시 암호화합니다. 특히, 복원 권한은 백업 권한보다 더 엄격하게 제한해야 합니다. 공격자가 쓰기 권한을 얻더라도, 복원 통제가 더 엄격하면 데이터 유출을 방지할 수 있습니다.
4. 백업 인프라 행동 모니터링 구현 SentinelOne의 Singularity Platform은 백업 볼륨에서 실시간으로 행동 이상을 탐지하여, 랜섬웨어가 백업 파일에 도달하기 전에 실행 단계에서 차단합니다.
5. 오프라인 복구 문서 유지 NIST IR 8374는 사고로 인해 네트워크 내 디지털 복사본 접근이 불가능할 수 있으므로, 대응 계획이 오프라인으로 존재해야 한다고 명시합니다. 인쇄본 또는 암호화된 USB 저장 복구 매뉴얼은 합법적인 복원력 통제 수단입니다.
6. 미디어 및 제공업체 다양화 디스크, 클라우드 오브젝트 스토리지, WORM(Write Once Read Many) 테이프를 여러 제공업체에 분산해 사용합니다. WORM 테이프는 기본적으로 물리적으로 오프라인이기 때문에 여전히 유효합니다. 다중 제공업체 전략은 단일 벤더 인증 침해에 대한 노출을 줄입니다.

이러한 실천을 적용하면 아키텍처가 강화되지만, 공격자 작동 방식을 이해하면 그 중요성을 알 수 있습니다. 실제 사고는 공격자가 백업 시스템을 주요 표적으로 삼는다는 점을 확인시켜줍니다.

랜섬웨어가 백업 인프라를 노리는 방식

백업 파괴는 랜섬웨어 작전의 부수적 결과가 아니라, 의도적이고 문서화된 단계입니다. 다음 사례는 공격자가 실제로 백업 인프라에 접근하는 방식을 보여줍니다.

• Beast 랜섬웨어: 문서화된 전술로서의 백업 파괴  Beast 랜섬웨어 보고서는 이 조직의 운영 매뉴얼에 백업 표적화 전술이 포함되어 있으며, 랜섬웨어 생태계 내에서 표준 운영 절차로 공유됨을 밝혔습니다.
• 공식 공격 단계로서의 복구 거부  M-Trends 2026 보고서는 공격자가 폭파 전 백업 시스템을 더 오래 탐색하고 침해하는 데 시간을 할애한다고 설명합니다. 백업 저장소가 네트워크에 접근 가능하고 독립적으로 모니터링되지 않는다면, 이 시간 동안 공격자는 백업을 침해할 수 있습니다.
• 공공 부문 중단 및 복구 압박  GovTech 복원력 설문조사는 랜섬웨어로 인한 공공 부문 중단, 사무실 오프라인, 긴급 대응 영향 등을 보고했으며, 사이버보안에 대한 리더십 지원이 복구 성공과 상관관계가 있음을 밝혔습니다.

이러한 사례는 백업 전략만으로는 충분하지 않음을 보여줍니다. 복원력과 능동적 엔드포인트 방어를 결합해야 백업이 실제로 사용 가능한 상태로 유지됩니다.

핵심 요약

3-2-1 백업 전략은 데이터 보호의 기반이며, 랜섬웨어로 인해 IT 운영에서 보안 통제로 격상되었습니다. 현대 공격자는 백업을 주요 목표로 삼으므로, 불변성과 검증된 복구 테스트가 포함된 3-2-1-1-0과 같은 변형이 엔터프라이즈 복원력에 점점 더 중요해지고 있습니다. 

백업 아키텍처를 행동 기반 AI 및 자동 롤백 기능과 결합하여, 랜섬웨어가 백업에 도달하기 전에 차단하고, 도달했을 경우 피해를 복구하십시오.