출처 : 인터넷나야나 홈페이지 공지사항
1. 개요[편집]
2017년 6월, 대한민국의 웹 호스팅 업체인 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레버스(Erebus)에 일제히 감염된 사건.
대한민국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다. 다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 피해가 더욱 커졌다.
에레버스를 분석한 결과 중국어 기반에서 작성된 웹 소스를 발견할 수 있었다. 한마디로 made in china.
2. 인터넷나야나는 어떤 업체인가[편집]
인터넷나야나는 2001년 5월 11일 설립된 업체로서 웹 호스팅, 도메인, 홈페이지 제작 등을 주 사업 분야로 삼는다. 본사는 가산디지털단지 내 서울특별시 금천구 가산동 60-11번지 스타밸리타워 11층 1107호에 입주해있다.
2017년 기준으로 16년의 역사를 지닌, 업계에서는 중견에 속하는 업체이다. 그만큼 지명도도 상당한 편으로서 나야나의 호스팅을 이용하는 고객 사이트는 1만여 개에 이른다. 또한 무료 계정 서비스도 제공하였으므로 블로그 시대 이전인 2000년대 초반 당시 무료 계정으로 개인 홈페이지를 만들 때 나야나를 선택하는 경우가 많았기에 개인 사용자들에게도 이름이 알려진 편이었다.
3. 진행 과정[편집]
6월 10일 토요일 새벽, 나야나의 서버에 에레버스(Erebus) 랜섬웨어가 감염되었다. 에레버스는 윈도우를 타깃으로 한 랜섬웨어이나 나야나는 리눅스 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다.[1] 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다.
나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해주겠다는 입장을 밝혔다.[2]
호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다.[3] 이 중 SBS 8 뉴스의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.[4]
6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 비트코인(17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다.[5] 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것[6]을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다.
사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원 및 사이버수사대와 공조하겠으니 동요하지 말고 믿고 기다려달라는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다.[7] 게다가 이 공지가 올라온 후인 6월 12일에도 서버상에서 랜섬웨어에 의한 암호화가 계속 이루어지고 있다.[8]
6월 12일 16시경 올라온 나야나의 공지에 따르면, 해킹된 페이지의 파킹처리(공사중 등의 페이지처럼 안내문을 띄우는 것), 협상비용 마련을 진행중이라고 한다. 또한 해커와의 협상 내용 또한 공개하였는데, 해커는 협박하면서 대출, 파산, 회사 규모와 연봉, 그리고 가족까지 구체적으로 언급했다.
[원문]
My boss tell me, your buy many machine, give you good price
550 BTC
If you do not havce enough money, you need make a loan
You company have 40+ employees,
every employees's annual salary $30,000
all employees 30,000*40 = $1,200,000
all server 550BTC = $1,620,000
If you can't pay that, you should go bankrupt.
But you need to face your childs, wife, customers and employees.
Also your will lost your reputation, business.
You will get many more lawsuits.
미래창조과학부는 12일 오전 브리핑을 통해 인터넷나야나의 복구를 위해 필요한 조치를 지원하겠다는 입장을 밝혔다. 구체적으로는 한국인터넷진흥원과의 상세 취약점 점검을 통해 추가 피해를 막기 위한 보안 미비사항 지도와 기술 지원이 제공된다.[12] 한편 부산의 한 중소기업이 데이터 복구 업체를 통해 개별적으로 해커에게 비트코인을 지불하여 데이터를 복구받은 사례에 대해 한국인터넷진흥원은 '올바른 해결방식이 아니다'라고 우려를 나타냈다.[13]
업계 관계자들은 백업을 용이하게 하기 위해 운영서버와 백업서버를 작업용 윈도우PC에 SMB로 상시 마운트 해놓지 않았는가 추정하였다. 보안상식상 말도 안되는 작업방식이지만, 이렇게 수많은 서버가 순식간에 감염되고, 백업을 지원하지 않는 무료망은 오히려 감염되지 않은 상황이 쉽게 설명되기 때문이다.[14] 이는 KISA의 조사 결과와는 상관이 없는 일선 IT 커뮤니티의 추측이다.
일단 6월 13일 나야나 측의 발표에 따르면 해당 랜섬웨어의 활동에 윈도우 서버는 무사하고 리눅스 서버만이 피해를 입었다고 한다. 처음부터 나야나의 리눅스 서버를 노린 것으로 파악된다.[15] 안랩의 분석에 따르면 이 랜섬웨어는 리눅스용 ELF 형식을 하고 있으며, 따라서 이번 사태는 윈도우 서버를 거쳐서 감염된 것이 아니라 처음부터 리눅스용 변종이었던 것으로 드러났다.[16]
2017년 6월 14일 9시 55분, 대표이사의 이름을 건 사과문과 현황글이 올라왔다. 나야나에서 4억의 현찰과 법인매각으로 8억, 총 12억 지불로 해커와 협상진행중이다. 해커는 14일 24:00까지 18억이 입금되지 않으면 비용을 2배로 올리겠다고 했다고한다.
같은 날 12시를 기점으로 인터넷나야나 홈페이지에 접속이 불가능해졌다.
2017년 6월 14일 16:21분 13억에 해커측과 합의하여 복호화키를 받기로 하였다는 공지가 새로 등록되었다.
4. 문제점[편집]
나야나 측은 이중백업을 통해 이용자들이 업로드한 데이터를 백업하였다고 밝혔으나 망 분리가 제대로 이루어지지 않아 내/외부 백업 데이터까지 랜섬웨어에 감염시키고 말았다. 실제로 나야나는 이미 '네트워크 백업을 통해 스토리지 백업서버에 백업을 진행'함을 밝힌 바 있다. ISP나 IDC, 호스팅 업체는 정보보호관리체계상의 망분리 의무 사업자로 분류되나 나야나는 매출 규모에서 이 기준에 미치지 못하여 사각지대에 놓여있었다.[17] 나야나는 또한 이전부터 계정 접속을 위한 비밀번호조차 암호화하지 않는 등 보안에 소홀한 행태를 보여왔다.
반론으로는 백업 시스템을 망분리하는 경우는 ISP, 게임포털 등에서 일반적인 구성이 아니다. 하루 1회 백업과 차등 백업 등 빈번한 백업이 이루어지기 때문에 망분리할 경우 하루에 몇 번 이상 망을 연결하기 때문에 의미가 없다. 네트워크가 완전 분리되거나 연결되지 않은 콜드 백업의 경우 자사 인프라 중심의 서비스에는 가능하다. 한마디로 뉴스는 웹호스팅 회사와 일반 IDC 서비스의 현실을 모르는 것이다.
나야나를 비롯한 다수의 호스팅 업체가 채택한 '사단법인 한국인터넷호스팅협회'의 공동약관은 "고객은 자신이 운영 중인 서비스의 데이터 등에 대해 별도로 저장할 의무가 있으며 외부 침입 등으로 인한 정보의 유출, 누락 또는 자료의 손실에 대해 회사는 책임을 지지 않습니다."라고 명시하고 있다. 많은 호스팅 업체들이 외부 해킹, 랜섬웨어 감염으로 인한 피해에 대해 고객에게 책임을 떠넘기는 약관을 내세우고 있어 호스팅 업계 전반에 대한 신뢰도 하락이 우려된다.
그러나 이런 약관을 미리 알렸다고 해도 이것이 바로 법적효력을 갖는 것은 아니다. 상대에게 일방적으로 불리한 약관은 인정되지 않는 경우가 많고, 약관을 미리 알렸고 쌍방이 이에 동의했다고 하더라도 약관내용을 얼마나 성실하게 전달했는지, 발생할 수 있는 여러 경우의 수를 상정하여 예외조항에 관한 설명도 빠짐없이 알렸는지 등을 고려하여 판단을 내리기 때문이다. 다시말해 호스팅 업체 측에서 "우리들이 데이터를 유실해도 복원해주지 않는다."는 말을 사건이 발생하기 전에도 꾸준히 알려왔다면 업체측의 잘못은 경감되지만, 전혀 알리고 있지 않다가 사건 발생 후에 약관 조항에 적혀있었다. 라고 말하는 것은 통할 가능성이 그리 높지 않다.
결국 나야나 측이 13억 원을 지불하여 복호화 키를 받겠다고 선언하였는데, 수많은 피해를 입은 상황에서의 어쩔 수 없는 선택이라는 입장은 이해하지만 테러와의 협상을 한 것이나 다름없다는 비판이 쏟아지는 상황. 사실상 '전 세계의 해커들에게 호구 선언을 한 것이나 다름없으며, 이로 인해 한국이 해커들에게 집중 마크당해 랜섬웨어가 더욱 기승을 부릴 것이라는 우려가 매우 많다. 그렇다고 "테러와의 협상은 나쁜거니 넌 그냥 회사 접고 줄소송 당하든 말든 내 알바 아니고, 홈페이지 날려먹은 분들은 어쩔수 없으니 좋은 경험했다고 생각하세요." 할 수도 없는 노릇이니 어려운 문제다.
5. 알려진 피해 웹사이트[편집]
-
기관
-
상업
-
고일 (www.koil.co.kr)
-
아소비바 (www.asobiba.co.kr)
-
호텔아벤트리부산 (www.aventreehotelbusan.com)
-
홍콩폰 (www.hkphone.net) - 임시로 옥션의 판매자 페이지로 연결되고 있음.
-
-
언론
-
에코저널 (www.ecojournal.com)
-
재림신문 (www.sdanews.org)
-
문화예술 웹진 크리틱-칼(www.critic-al.org)
-
-
노동조합
-
유신코퍼레이션 노동조합 (www.yooshin.org)
-
-
개인
-
커뮤니티
-
맨유당사 (www.redsmanutd.com)
-
영남대학교 커뮤니티 와이유키키 (www.yukiki.net)
-
더 많은 목록 보기
위에 언급된 웹사이트는 언론이나 커뮤니티 등을 통해 알려진 일부이고, 실제 피해 웹사이트는 5천여 개에 이르는 것으로 여겨진다. 언론에 보도되지 않은 중소 쇼핑몰이나 기업 웹사이트의 자료/데이터베이스 유실, 신뢰도 저하 등의 피해를 합하면 천문학적일 것으로 추정된다. 특히 이들 웹사이트 중 상당수가 해당 기관/단체에서 직접 나야나에 입주한 것이 아니라 웹 에이전시에 사이트 제작과 관리를 위임한 것이기 때문에 2차 피해도 클 것으로 예상된다.
우습게도 유료 호스팅 서버는 모두 털렸으나 나야나에서 제공하던 도메인 무료 호스팅 서비스의 서버는 무사한 것으로 알려졌다. freekr2, freekr3, freekr4.nayana.com이 무료 호스팅으로서 정상적으로 작동한다. 하지만 무료 이미지 호스팅(img01.naya.kr)는 감염된 것으로 보인다.
'IT 이야기 > 보안 이슈' 카테고리의 다른 글
| 웹 해킹 원리와 방어 방법 「中」- 해외서버호스팅 제이피서버 (0) | 2017.06.20 |
|---|---|
| 웹 해킹 원리와 방어 방법 「上」- 해외서버호스팅 제이피서버 (0) | 2017.06.20 |
| 한글 이메일로 감염되는 VenusLocker 비너스락커 랜섬웨어 (0) | 2017.06.14 |
| 수원남부경찰서 사칭한 이메일 첨부파일로 VenusLocker 랜섬웨어 유포 주의 (0) | 2017.06.14 |
| SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 (0) | 2017.06.14 |