5천여 웹사이트 피해 추정…미래부·KISA, 복구 지원 나서

▲ 인터넷나야나 랜섬웨어 감염 안내

[아이티데일리] 웹 호스팅 업체의 랜섬웨어 감염으로 5천여 개 웹사이트가 피해를 입은 것으로 추정되는 가운데 피해 규모 역시 점차 커지고 있다.

12일 미래창조과학부는 브리핑을 통해 인터넷나야나의 복구를 위해 필요한 조치를 지원하겠다는 입장을 밝혔다. 구체적으로는 한국인터넷진흥원과의 상세 취약점 점검을 통해 추가 피해를 막기 위한 보안 미비사항 지도와 기술 지원이 제공된다.

이번 사고는 지난 10일 웹 호스팅 업체 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어 에레버스(Erebus)에 감염된 것이 확인되면서 시작됐다. 다수의 이용자가 이용하는 웹 호스팅 업체가 랜섬웨어에 감염된 것은 국내에서 처음 발생한 일로, 수많은 2차 피해 역시 예상되고 있다. 이번 랜섬웨어 공격으로 최소 약 3400여 웹페이지가 피해를 입은 것으로 조사됐고, 피해 서버 153대가 제공하는 홈페이지 서비스는 약 5천 여 곳에 달한다.

현재 해커는 대출, 파산, 회사 규모와 연봉, 그리고 가족까지 구체적으로 언급하며 서버당 5.4 비트코인을 요구하는 것으로 알려졌다. 이는 한화로 약 1755만 여 원에 이르는 금액으로 총 액수는 26억 여 원에 이른다. 2차 피해 역시 만만치 않은 상황으로, 나야나 측에서 추산한 2차 피해액은 10억 원에 이른다. 인터넷나야나는 현재 협상비용 마련을 준비 중인 것으로 알려졌다.

에레버스는 리눅스를 타깃으로 하는 랜섬웨어로, 이번 공격은 오픈소스 삼바(Samba)의 취약점을 이용한 것으로 추정된다. 삼바는 윈도우의 SMB 프로토콜을 리눅스 상에서 오픈소스로 구현한 소프트웨어로 SMB와 동일한 보안 취약점을 가지고 있었다. 지난 워너크라이 랜섬웨어가 이용한 취약점 역시 SMB 취약점이었으며 삼바의 취약점 역시 지난 5월 말 패치된 것으로 나타났다.

인터넷나야나는 보안 부분과 이중 백업을 시행했으나 해커 공격으로 인해 해당 서버들의 데이터가 랜섬웨어에 감염됐다고 공지했지만, 보안 업계는 백업 서버가 별도 분리되지 않았다고 진단하고 있다. 백업서버는 분리돼야 하는 게 원칙이지만 실시간 백업 중요성이 커지면서 온라인과 연계해 사용되는 방법이 통용돼 왔기 때문이다. ISP나 IDC, 호스팅 업체는 정보보호관리체계상의 망분리 의무 사업자로 분류되지만 인터넷나야나의 경우 매출 규모에서 기준에 미치지 못해 사각지대에 놓여있었다.

인터넷나야나는 “랜섬웨어 공격 확인 이후 백업된 자료로 복구하려고 했으나 원본 파일을 포함한 내부 백업 및 외부 백업 모두 랜섬웨어에 감염돼 모두 암호화됐다는 사실을 확인했다”며, “회사가 관리하는 웹 호스팅, 서버 호스팅, 도메인, 위탁관리 및 인계가 가능한 업체를 논의하는 등 고객님들의 이익을 보호하기 위해서 저희가 할 수 있는 최선을 다하고 있다. 하지만 내부와 외부 데이터가 모두 공격당했기 때문에, 개별 업체가 보유하고 있는 원본 데이터 제공을 하는 경우에만 홈페이지 복원을 지원하겠다”고 밝혔다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지