인터넷나야나는 지난 10일 '에레보스(Erebus)'라 불린 리눅스 기반 변종 랜섬웨어의 공격을 받아 서버 153대에 원본 데이터를 무단 암호화 당했다. 이에 따라 서버 153대 중 71대 웹호스팅 서버에서 돌던 웹사이트 약 3천 400여개, 82대 서버호스팅 서버에서 돌던 웹사이트 약 2천 200여개가 운영 장애에 빠졌다.
인터넷나야나는 서비스의 정상화를 위해 50억 원을 요구하는 해커와 협상 끝에 13억원 상당의 비트코인을 지불하고 암호키를 받아냈다. 그러나 30일 현재까지 데이터를 원상복구하지 못해 정상서비스가 불가능한 것으로 확인됐다. 서버를 복구하는 데는 성공했지만, 서버 안에 담겨있던 일부 파일이 이미 파괴된 상태였다.
특히 동종업계 및 미래부의 기술지원을 받아 복구한 일부 고객사 홈페이지는 렌섬웨어 감염흔적이 고스란히 남아있는 등 렌섬웨어 피해를 당한지 3주에 이르도록 완전한 복구가 이뤄지지 않으면서 피해업체들의 반발도 거세지고 있다.
황칠홍 인터넷나야나 대표는 “해커로부터 암호키를 다 받아 서버를 복구시켰지만 개별 파일마다 열리지 않는 경우가 발생해 100% 복구는 어려워진 상황이다”면서 “정상 서비스를 위해 최선을 노력을 다하는 중”이라고 밝혔다
한국인터넷진흥원 관계자는 “복호화키를 받아도 개별 파일 복구에 문제가 발생하면 100% 정상화는 불가능하다”면서 “이 같은 사례 때문에 렌섬웨어에 감염돼도 데이터 복구비용을 지불하는 데 신중해야 한다”고 지적했다.
한편 인터넷나야나는 ‘지능형지속위협(APT)'과 랜섬웨어를 결합한 공격에 당한 것으로 드러났다. 해커는 인터넷기반 중소사업체의 운영 인프라를 노린 APT 공격을 감행했고, 큰 수익을 거두기 위해 랜섬웨어 공격을 더했단 것이다.
미래창조과학부는 지난 28일 중간조사 발표를 통해 "이번 사건은 해커들의 지능형 지속 위협(APT) 공격과 랜섬웨어를 결합해 공격한 사례"라며 "향후 웹호스팅 업체들의 보안취약성 점검에 나서겠다"고 밝혔다.
'시민과 공감하는 언론 일요주간에 제보하시면 뉴스가 됩니다'
▷ [전화] 02–862-1888
▷ [메일] ilyoweekly@daum.net
[ⓒ 일요주간. 무단전재-재배포 금지]
