웹호스팅 업체 인터넷나야나에 랜섬웨어 공격을 가한 해커집단이 사전에 수백 대에 달하는 서버 계정정보를 탈취하는 등 계획적인 범행을 저지른 것으로 조사됐다.
28일 미래창조과학부와 한국인터넷진흥원(KISA)은 정부과천청사에서 제2차 랜섬웨어 민관협의회를 열고 지난 10일 발생한 인터넷나야나의 램섬웨어 침해사고 중간조사 결과를 발표했다.
미래부는 이번 사건을 중소 인터넷기업을 대상으로 한 지능형지속위협(APT) 공격과 랜섬웨어 공격이 결합된 사고로 규정했다. 해커 집단이 사용자 PC를 공격해 정보를 빼가는 모든 행위를 뜻하는 APT 공격에 그치지 않고 랜섬웨어 방식을 더해 협박의 수위를 최고조로 높인 초유의 사태로 기록될 전망이다.
해커들은 서버에 접근하는 길목부터 백업 단계까지 전 과정을 손아귀에 넣고 사건을 계획한 것으로 드러났다. 우선 이들은 게이트웨이 서버 1대와 호스팅 사업부 서버 1대를 해킹해 공격 거점을 확보했다. 최초 계정 정보 유출 경위는 현재 조사가 진행 중이다.
탈취한 계정 정보로 호스팅 사업부 웹서버에 미리 심어둔 에레버스라는 랜섬웨어를 다운받아 다시 153대의 고객 서버에 설치했다. 이 랜섬웨어는 지난해 9월 발견된 마이크로소프트(MS) 윈도용 랜섬웨어의 변종으로 리눅스 환경에서 실행된다는 점이 특징이다.
해커들은 정확히 10일 오전 1시에 153대 서버에서 랜섬웨어가 일시에 실행되게 해 데이터베이스, 이미지, 프로그램 등을 암호화했다. 동시에 자체 백업 파일과 백업서버 파일을 복구 불가능한 수준으로 삭제하는 치밀함을 보였다. 서버에서 관리하던 5496개(도메인 기준)에 달하는 홈페이지는 이날 이후 먹통이 됐고 상당 수는 여전히 복구 작업 중이다.
계정 정보 유출 경위에 대해서는 조사가 진행 중이지만 현재까지 드러난 정황으로 봤을 때 특정 업체를 타깃으로 삼아 오랜 시간 준비해 온 사전 계획 범행일 가능성이 높다는 것이 당국 설명이다. APT 공격은 지금도 빈번히 일어나고 있지만 이번처럼 정보를 탈취하고 랜섬웨어 공격 방식으로 거액의 금전을 요구하는 식의 수법은 국내에서 처음이다.
해커들이 랜섬웨어를 호스팅 사업부 웹서버에 심고 이를 153대에 각각 설치하는 작업은 적어도 사고 발생 5일 전부터 시작됐을 것으로 당국은 추정하고 있다. 이들이 인터넷나야나를 표적으로 설정하고 계정을 탈취하는 과정까지 포함한다면 수개월 전부터 범행을 준비했을 가능성이 높다는 분석이다.
해커집단에게 서버 관리상 취약점이 노출됐다는 점에서 인터넷나야나의 관리상 책임을 피하기 어렵게 됐다. ID와 비밀번호만으로 서버 접근이 가능했다는 점과 주요 서버에 접속할 수 있는 관리자용 단말의 보안이 제대로 이뤄지지 않은 점은 공격의 빌미가 됐다.
미래부는 이 같은 사고 재발을 막기 위해 영세 호스팅사업자를 대상으로 다음 달 긴급 취약점 점검을 실시하고 백업보안 가이드라인을 제정, 보급할 방침이다. 인터넷나야나의 경우 자료 복구 후 전반적인 보안취약점 점검을 지원해 주기로 했다.
송정수 미래부 정보보호정책관은 "사이버보안은 기업의 존폐를 결정하는 핵심 변수로 선택이 아닌 필수사항"이라며 "랜섬웨어로부터 국민과 기업의 피해를 막을 수 있도록 기본적인 보안수칙 실천과 기업의 보안투자 확대를 위해 노력하겠다"고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]