회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

공지사항

제목 작성일
LG전자 서비스센터, '워너크라이' 랜섬웨어에 감염되어 초유의 마비 사태!

LG전자서비스 서버, 랜섬웨어에 감염...전국 모든 서비스센터로 감염 확산 보안관리 담당하는 LG CNS, 백업만 믿고 랜섬웨어 예방엔 소홀했다는 지적 받아

전국의 모든 LG전자 서비스센터의 서버를 관리하는 LG전자 자회사인 LG전자서비스의 서버가 악성코드 공격을 받아 랜섬웨어에 감염된 것으로 드러났다. 더욱이 감염된 LG전자서비스 서버는 각 지역에 있는 모든 LG전자 서비스센터의 서버들을 관리하고 있어 전국의 모든 서비스센터가 마비되는 사태가 벌어진 것으로 보인다. lg500.jpg

▲ LG전자 서비스의 홈페이지의 공지사항 화면

이번에 랜섬웨어에 감염된 LG전자서비스의 서버는 상암센터에 있으며, 이에 대한 보안관리는 LG CNS가 담당하고 있는 것으로 알려졌다. 랜섬웨어 감염 여부에 대해 LG CNS의 관계자는 “일부 서비스센터의 트래픽을 증가시켜 업무지연을 일으킨 악성코드를 분석한 결과, 랜섬웨어로 확인했다”고 공식 발표했다. 특히 해당 서버는 전국 각 지역에 있는 모든 LG전자서비스의 서버를 관리하고 있어 전국에 있는 LG전자서비스센터가 모두 랜섬웨어에 감염됐을 것으로 추정된다. 이번 사태의 원인과 관련해서 한 보안전문가는 “전국 서버망을 관리하는 자회사인 LG전자서비스의 서버가 랜섬웨어에 감염됐기 때문에 전국에 있는 LG전자 서비스센터가 일시 마비됐다. LG전자 서비스센터의 셀프접수기도 악성코드에 감염되어 트래픽이 과다 발생했다.”고 지적했다. 이번 랜섬웨어 감염 사태에 대해 보안전문가들은 백업만 믿고 소홀하게 대응한 결과라고 입을 모았다. 한 보안전문가는 “백업은 돼 있을 것으로 보이나 보안을 담당하고 있는 LG CNS에서 백업만 믿고 정작 랜섬웨어 예방에는 소홀해 서버망 마비 사태까지 발생한 것”이라며 “더군다나 휴가 기간에 발생한 사건인 만큼 피해 규모도 클 것으로 예상되고 즉각 대응하기도 쉽지 않을 것”이라고 지적했다. --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 한국인터넷진흥원(KISA) 이동근 단장은 “LG전자 서비스 서버에 침투한 악성코드를 조사한 결과 워너크라이 랜섬웨어에 감염된 것으로 확인했다”며 “무인접수 단말기부터 문제가 발생해 본사에서 인지하게 됐다”며 사건 경위에 대해 설명했다. 특히, 이번 사건은 전국에 있는 LG전자 서비스센터와 연결돼 있는 내부망이 랜섬웨어에 감염된 만큼 피해규모에 대해서도 관심이 모아지고 있다. 피해규모와 관련해 이 단장은 “이번에 감염된 내부망은 무인접수 단말기만 사용하고 있는 폐쇄망이라 현재까지는 무인접수 단말기 피해만 있었으며, 다른 시스템으로 피해로 확산될 가능성은 낮다”고 말했다. 이에 대해 LG전자 측은 “자체 모니터링에서 트래픽이 증가하는 이상 징후를 발견하고 지체없이 서비스센터의 네트워크를 외부와 차단해 현재까지 데이터 암호화, 금전 요구 등의 피해는 발생하지 않았다”고 해명했다. 또한, 악성코드에 감염됐던 무인접수 단말기의 보안 업데이트를 모두 완료해 16일부터는 서비스센터의 모든 무인접수단말기가 정상 운영되고 있다고 덧붙였다. 현재 KISA 측은 최초 감염 경로와 추가 피해 여부에 대해 정밀 조사 중으로 알려졌다. 이번 사태의 최초 감염경로는 SMB 취약점으로 인해 발생한 것으로 알려져 잇다. 이와 관련 한 보안전문가는 “SMB 웜을 통해 전파가 확산되는 워너크라이 랜섬웨어의 경우 누군가 워너크라이에 감염돼 고장난 컴퓨터의 수리를 위해 서비스센터로 가져갔고, 수리를 위해 컴퓨터를 네트워크에 연결하고 부팅했을 때 바로 내부망을 스캔해 감염시키는 워너크라이가 동작한 것으로 보인다”며, “내부망에 연결된 무인접수 단말기는 평상시 보안 업데이트를 하지 않고 운영돼 전국적으로 감염이 확산되고, 트래픽이 과다하게 발생해 이를 조치하기 위해 보안 업데이트를 수행한 것으로 보인다”고 밝혔다. 사건 발생 후 LG전자 측의 대응조치에 아쉬움을 나타낸 보안전문가는 “LG전자 사이트와 LG전자서비스 사이트의 공지사항에서 이번 사건에 대해 전혀 언급하지 않고 있다”며 “피해사실을 고객들에게 알리고 현재 대응 및 조치현황, 그리고 앞으로의 보안대책 등에 대한 설명이 필요하다”고 지적했다. 보안 업데이트 소홀 문제를 지적한 또 다른 보안전문가는 “대기업에서 보안의 기본인 보안 업데이트를 적용하지 않았다는 점은 물론 보안 솔루션 도입 역시 미흡한 것으로 드러나는 등 허술한 보안 관리가 이번 사태를 초래한 꼴”이라고 지적했다. 이처럼 각종 랜섬웨어가 기승을 부리고 있는 시점에서 발생한 사건인 만큼 더욱 각별한 주의가 요구된다. 특히, 파키스탄은 2000여개에 달하는 웹사이트가 랜섬웨어로 해킹된 것으로 알려지는 등 최근에는 랜섬웨어가 사이버전 도구로도 악용되고 있는 상황이다. [ 출처 : 보안뉴스 김경애 기자(boan3@boannews.com) |  입력 : 2017-08-14 23:35, 업데이트 : 2017-08-16 16:55 ]
2017.08.19

웹호스팅업체 '인터넷나야나' 공격해 암호화시킨 ‘에레버스 랜섬웨어'

작성자
admin
작성일
2017-06-13 19:00
조회
313

▲ 에레버스 랜섬웨어 감염 화면.


1. 개요


지난 6월 10일 오전 웹호스팅 업체 ‘인터넷나야나’가 '에레버스 랜섬웨어'에 감염돼 이 업체가 관리하는 국내 기업, 대학, 단체 등의 웹사이트와 리눅스 서버(웹 서버 및 백업 서버) 300여 대 가운데 153개가 랜섬웨어의 일종인 에레버스(Erebus)의 리눅스용 변종에 일제히 감염되면서 5천여 개 사이트의 파일들이 암호화돼 큰 피해가 있었다.

한국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다. 다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 피해가 더욱 커졌다. 결국 나야나 측에서 해커가 요구한 상당한 금액을 지불하는 방식으로 마무리되었다.
에레버스를 상세 분석한 결과, 공격지는 브라질로 추정된다.

복구를 위한 해커의 최초 요구사항은 각 리눅스 서버 당 10비트코인(한화 3천2백71만원) 이었다. 이어 6월 11일 해커의 최종 요구사항은 6월 14일 23시 59분까지 각 리눅스 서버 당 5.4비트코인(한화 1천755만 원)이었다.

2. 인터넷나야나는 어떤 업체인가


인터넷나야나는 2001년 5월 11일 설립된 업체로서 웹 호스팅, 도메인, 홈페이지 제작 등을 주 사업 분야로 삼는다. 본사는 가산디지털단지 내 서울특별시 금천구 디지털로9길 99(가산동 60-11번지) 스타밸리타워 11층 1107호에 입주해있다.
2017년 기준으로 16년의 역사를 지닌, 업계에서는 중견에 속하는 업체이다. 그만큼 지명도도 상당한 편으로서 나야나의 호스팅을 이용하는 고객 사이트는 1만여 개에 이른다. 또한 무료 계정 서비스도 제공하였으므로 블로그 시대 이전인 2000년대 초반 당시 무료 계정으로 개인 홈페이지를 만들 때 나야나를 선택하는 경우가 많았기에 개인 사용자들에게도 이름이 알려진 편이었다.

3. 진행 과정


6월 10일 토요일 새벽, 나야나의 서버에 에레버스(Erebus) 랜섬웨어가 감염되었다. 에레버스는 윈도우를 타깃으로 한 랜섬웨어이나 나야나는 리눅스 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다. 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다.
나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해주겠다는 입장을 밝혔다.

호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다. 이 중 SBS 8 뉴스의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.

6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 비트코인(17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다. 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다.

사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원(KISA) 및 사이버수사대와 공조하겠으니 동요하지 말고 믿고 기다려달라는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다. 게다가 이 공지가 올라온 후인 6월 12일에도 나야나 자유 게시판에 올라온 글에 따르면, FTP를 이용한 서버상에서 랜섬웨어에 의한 암호화가 이루어지고 있었다.

6월 12일 16시경 올라온 나야나의 공지에 의하면, 해킹된 페이지의 파킹처리(공사중 등의 페이지처럼 안내문을 띄우는 것), 협상비용 마련을 진행중이라고 한다. 또한 해커와의 협상 내용 또한 공개하였는데, 해커는 대출, 파산, 회사 규모와 연봉, 그리고 가족까지 구체적으로 언급하면서 협박했다.

[원문]
My boss tell me, your buy many machine, give you good price 550 BTC
If you do not havce enough money, you need make a loan
You company have 40+ employees,
every employees's annual salary $30,000
all employees 30,000*40 = $1,200,000
all server 550BTC = $1,620,000

If you can't pay that, you should go bankrupt.
But you need to face your childs, wife, customers and employees.
Also you will lost your reputation, business.
You will get many more lawsuits.

[한국어 해석]
우리 총책이 말하길, 너네 기계도 많이 산다며, 비트코인 550개면 합당한 가격 아니야?
(복호화하기에)충분한 돈이 없으면 대출이라도 받아.
너네 회사 직원 40명 넘어. 평균 연봉도 다 3만 달러는 되네.
3만 달러 * 40명 = 120만 달러
서버값 = 비트코인 550개 = 162만 달러

돈 못 내겠으면 파산하든가.
근데 너희 애들, 와이프, 고객들, 직원들 얼굴 볼 수 있겠니?
넌 평판과 명성을 모두 다 잃고 수많은 소송에 시달리게 될 거다.


미래창조과학부는 12일 오전 브리핑을 통해 인터넷나야나의 복구를 위해 필요한 조치를 지원하겠다는 입장을 밝혔다. 구체적으로는 한국인터넷진흥원과의 상세 취약점 점검을 통해 추가 피해를 막기 위한 보안 미비사항 지도와 기술 지원이 제공된다. 한편 부산의 한 중소기업이 데이터 복구 업체를 통해 개별적으로 해커에게 비트코인을 지불하여 데이터를 복구받은 사례에 대해 한국인터넷진흥원은 '올바른 해결방식이 아니다'라고 우려를 나타냈다.
업계 관계자들은 백업을 용이하게 하기 위해 운영서버와 백업서버를 작업용 윈도우 PC에 SMB로 상시 마운트 해놓지 않았는가 추정하였다. 보안상식상 말도 안되는 작업방식이지만, 이렇게 수많은 서버가 순식간에 감염되고, 백업을 지원하지 않는 무료망은 오히려 감염되지 않은 상황이 쉽게 설명되기 때문이다. 이는 KISA의 조사 결과와는 상관이 없는 일선 IT 커뮤니티의 추측 중 하나일 뿐이었고 결국 틀렸다.

6월 13일 나야나 측의 발표에 따르면 해당 랜섬웨어의 활동에 윈도우 서버는 무사하고 리눅스 서버만이 피해를 입었다고 한다. 처음부터 나야나의 리눅스 서버를 노린 것으로 파악된다. 안랩의 분석에 따르면 이 랜섬웨어는 리눅스용 ELF 형식을 하고 있으며, 따라서 이번 사태는 윈도우 서버를 거쳐서 감염된 것이 아니라 처음부터 리눅스용 변종이었던 것으로 드러났다.

2017년 6월 14일 9시 55분, 대표이사의 이름을 건 사과문과 현황글이 올라왔다. 나야나에서 4억의 현찰과 법인매각으로 8억, 총 12억 지불로 해커와 협상진행중이다. 해커는 14일 24:00까지 18억이 입금되지 않으면 비용을 2배로 올리겠다고 했다고 한다.
같은 날 12시를 기점으로 약 하루동안 인터넷나야나 홈페이지에 접속이 불가능했는데, 이 시기에 임시 사이트가 만들어졌다. 6월 24일 시점에서 종종 불안정해지므로, 기존 사이트가 접속되지 않으면 임시 사이트로 접속하거나, 임시 사이트가 접속되지 않으면 기존 사이트로 접속할 것을 권한다.

2017년 6월 14일 16:21분, 13억에 해커 측과 합의하여 복호화키를 받기로 하였다는 공지가 새로 등록되었다. 이는 2017년 현재까지 알려진 랜섬웨어 중에서 최고액이다. 그리고 1차 복호화키를 받았다고 한다. 복구에는 성공했지만 16시간 동안 10여 개의 웹사이트를 복구하는데 그쳐 작업 시간이 길다고 한다. 나야나는 분할 상환 방식을 택했는데, 이는 금액을 마련할 시간(비트코인 매입 시간 등)을 벌기 위함도 있겠지만 돈을 다 줬다가 복구가 안되면 돈만 날리는 것이 됨으로 이를 방지하기 위함으로 보인다. 또한 나야나의 인수 의사를 밝힌 기업이 회사 자금을 담보로 자금을 빌려주는 형식으로 자금을 제공하여, 경영권은 그대로 유지되었다고 한다.

16일 스마일서브에서 랜섬웨어 공격 분석을 완료했다. [보고서 링크] 알려진 바와는 달리 Samba나 SMB 프로토콜과는 관련되어 있지 않으며, 공격의 원인은 내부자 공격이나, 내부 컴퓨터나 외부의 접속 허용 컴퓨터의 감염으로 인한 2차 공격으로 추정된다고 한다.
6월 22일에 올라온 12차 공지에 의하면 복호화 키를 모두 확보한 것으로 보여지며 전화상담의 어려움, 회생의지를 드러냈다. 아래는 12차 공지의 일부.

2017년 06월 21일까지 1~3차 협상에서 복호화키의 정상작동과 협상 그리고 복호화키를 받아 복구하기 위한 서버준비까지 동시에 진행하는 과정이 있었으며 이 과정에서 저희 회사의 모든 인력이 총동원되었지만, 턱없이 부족한 복구인력 및 장비 등으로 인해 고객님들께 안내 등의 대처가 미흡하였습니다.
현재 3차까지의 모든 키를 받았으며 복구를 위해 최선을 다하고는 있지만, 아직도 많은 시간이 필요할 것으로 예상하며 그로 인한 고객님들의 피해 또한 예상됩니다.
(중략)
고객님들의 피해에 대해서도 외면할 생각 없습니다. 다만 현재 회사 사정에서는 해드릴 수 있는 것이 거의 없습니다. 회사의 모든 자산을 담보로 10억 정도의 차입금이 발생한 상황입니다.
저희 회사에 회생의 기회를 주신다면 앞으로 최선을 다해 복구하고 랜섬웨어 공격과 그로 인한 장애에 대한 보상 계획안을 만들어 보상의 이루어질 수 있도록 노력하겠습니다.
또한, 앞으로 보안이나 백업 등 서비스의 품질에도 더 신경 써 재발 방지를 위해서도 부단히 노력하겠습니다.
그리고 이번 장애로 피해를 보신 상황임에도 불구하고 응원해주시고 격려해주신 모든 분들께 감사 말씀드립니다.
복구과정에서 필요했던 200여대의 서버와 수많은 엔지니어 인력을 지원해주신 업계관계자 분들께도 진심으로 감사 드리며 평생 잊지 않고 노력하는 모습 보여드리겠습니다.

저로서는 이번 랜섬웨어 공격이 불가항력적인 일이란 생각에 모든 것을 내려놓고 포기하고 싶은 심정이었습니다.
그러나 저와 같은 피해자가 수천 수만 명이 될 수도 있는 상황을 만들 수 없어 모든 것을 포기하더라도 자료복구만은 해야 하겠다는 생각으로 복구를 진행했습니다.
해커와의 협상이 해서는 안 되는 일이란 것도 알고 있습니다. 저 혼자만의 아니 저희 회사만의 피해로 끝나는 상황이었다면 해커와의 협상은 하지 않았습니다.
그러나 피해의 규모가 너무도 크고 너무나도 많은 분들이 피해를 볼 것이 불 보듯 뻔한 상황이라 어쩔 수 없는 선택이었습니다.
이제는 3차까지의 협상이 모두 진행되어 복호화키값을 모두 받았으니 최선을 다해 복구에만 전념하여 최선을 다해 모두 복구될 수 있도록 노력하겠습니다.
(중략)
보상에 대해서는 고객님들의 피해가 너무도 다양하고 피해 정도가 다르므로 이에 대한 피해 규모 산정에 고심하여 회사가 회생할 수 있는 방향으로 여력이 되는 한 최대한 보상할 수 있도록 하겠습니다.
회사가 회생하지 못한다면 보상 또한 하고 싶어도 할 수 없는 상황입니다.
우선 복구가 완료된 이후 피해 및 보상계획에 대해 공지하도록 하겠습니다.

[전화 상담에 대한 안내]
전화 상담이 이루어지지 못한 이유는 한가지입니다.
저희 전 직원이 모두 전화 상담을 한다고 해도 상담을 다 할 수도 없을뿐더러 전화 상담을 하면 할수록 복구작업은 늦어지고 결국은 복구가 점점 어려워지는 상황이 되어 복구할 수 없기 때문입니다.
고객님들의 답답하고 하루하루 사이트가 열리지 않아 생기는 피해를 모르는 것은 아니나 그렇다고 전화를 붙잡고 있으면 복구는 할 수 없는 상황이기 때문에 공지로 안내해드리고 있는 점에 대해 고객님들의 양해 부탁드립니다.

2017년 7월 10일부터 모든 전화 상담을 받을 수 있도록 하겠습니다. 그때까지는 복구에만 전념할 수 있도록 간곡히 부탁드리겠습니다.
대신 복구 상황에 대해 상세한 진행 공지는 지속해서 해나가도록 하겠습니다.
복구가 100% 될지도 아직 미지수인 상황에서 상담이나 각종 피해, 보상 등을 협의할 수 없는 입장입니다. 힘드시고 답답하시겠지만 넓은 아량으로 이해해주시고 조금만 더 저희가 복구에 전념할 수 있도록 도와주십시오.
고객님들 입장에서는 너무 이기적이고 기막히고 화나는 내용의 공지라고 생각하실 수도 있습니다. 다만 현재 저희가 할 수 있는 최선을 다하고 있으니 믿어주십시오.
감사합니다.


13차, 14차 공지에 의하면, 복구 작업 중이며 일부 서버는 복구가 불가능할 것이라고 한다.
6월 28일, 미래부의 중간 조사 결과 발표 내용에 의하면, APT 공격과 랜섬웨어가 결합한 사고이며 관리자용 PC에 보안 문제가 있었다고 한다.

4. 문제점


나야나 측은 이중백업을 통해 이용자들이 업로드한 데이터를 백업하였다고 밝혔으나 망 분리가 제대로 이루어지지 않아 내/외부 백업 데이터까지 랜섬웨어에 감염시키고 말았다. 실제로 나야나는 이미 '네트워크 백업을 통해 스토리지 백업서버에 백업을 진행'함을 밝힌 바 있다. ISP나 IDC, 호스팅 업체는 정보보호관리체계상의 망분리 의무 사업자로 분류되나 나야나는 매출 규모에서 이 기준에 미치지 못하여 사각지대에 놓여있었다. 나야나는 또한 이전부터 계정 접속을 위한 비밀번호조차 암호화하지 않는 등 보안에 소홀한 행태를 보여왔다.

다만 백업 시스템을 망분리하는 경우는 ISP, 게임포털 등에서 일반적인 구성이 아니라는 말이 있다. 하루 1회 백업과 차등 백업 등 빈번한 백업이 이루어지기 때문에 망분리할 경우 하루에 몇 번 이상 망을 연결하기 때문에 의미가 없다. 네트워크가 완전 분리되거나 연결되지 않은 콜드 백업의 경우 자사 인프라 중심의 서비스에는 가능하다. 이 말대로라면 뉴스는 웹호스팅 회사와 일반 IDC 서비스의 현실을 모른다는 건데, 이 이야기는 전문 망분리 장비의 존재를 무시한 것이다. 전문적인 망분리 백업 장비는 라우팅 테이블 관리로 양측 망을 분리해서 관리하고 기기 자체의 철저하게 권한 관리된 프로세스가 파일만을 반대편 망으로 전송하는 구조로 동작한다. 망을 열었다 닫았다 하면서 동작하지 않는다.

나야나의 경우 각종 백업 솔루션 CDP를 이용한 이미지 스냅샷 백업 기능을 이용하였고, 기본적인 호스팅 업체의 기본 운영 방식으로 보안 및 백업 운영이 되었다. 그러나 모든 서버의 계정이 털리면서 스냅샷을 저장한 백업 서버마져도 정상 복구가 불가능하게 데이터가 파괴되었다. 내외부망은 IPTables라는 IP 기반의 보안 방식으로 사무실, 호스팅 서버, 외부 망이 분리되었다. 문제는 마이크로 타켓팅으로 보안 장비에 걸리지 않게 악성코드가 APT 형태로 공격이 들어왔고 망이 혼류된 지점(VoC용 PC)이 침입되어 문제가 되었을 가능성이 있다고 스마일서브 대표는 주장했다. APT가 아니라 그냥 윈도우용 단순 악성 코드였을 수 있다.

공격 형태가 APT + 리눅스 랜섬웨어라면 짧지 않는 시간 나야나의 서비스 운영, 보안 상태를 확인하면서 준비한 것으로 보인다. 단, 서버의 암호를 일일히 기억하기 힘들어 USB 안의 엑셀 파일로 각 서버의 암호를 관리한 것이 문제로 보인다. OTP 및 2차 인증을 이용했다면 백업 서버까지 당하는 일을 발생하지 않았을 것이다. 대부분 웹호스팅 업체는 USB에 패스워드를 엑셀로 저장하여 운영하는 경우가 많다. DR 서버나 중요 인프라 서버까지 한 덩어리로 패스워드를 관리한 것은 계란을 한 바구니에 담은 것과 비슷하다.

모 소셜 커머스의 경우 몇년 전까지 회사명을 넣은 패스워드를 DB의 패스워드로 한 다음 3개월마다 재활용하여 사용했다. 그것보다 더 무서운 게 웹호스팅 업계에서 주로 사용하는 2차 인증이 없이 엑셀에 패스워드를 담아 운영하는 서버 운영이다.

나야나를 비롯한 다수의 호스팅 업체가 채택한 '사단법인 한국인터넷호스팅협회'의 공동약관은 "고객은 자신이 운영 중인 서비스의 데이터 등에 대해 별도로 저장할 의무가 있으며 외부 침입 등으로 인한 정보의 유출, 누락 또는 자료의 손실에 대해 회사는 책임을 지지 않습니다."라고 명시하고 있다. 많은 호스팅 업체들이 외부 해킹, 랜섬웨어 감염으로 인한 피해에 대해 고객에게 책임을 떠넘기는 약관을 내세우고 있어 호스팅 업계 전반에 대한 신뢰도 하락이 우려된다.

그러나 이런 약관을 미리 알렸다고 해도 이것이 바로 법적효력을 갖는 것은 아니다. 상대에게 일방적으로 불리한 약관은 인정되지 않는 경우가 많고, 약관을 미리 알렸고 쌍방이 이에 동의했다고 하더라도 약관내용을 얼마나 성실하게 전달했는지, 발생할 수 있는 여러 경우의 수를 상정하여 예외조항에 관한 설명도 빠짐없이 알렸는지 등을 고려하여 판단을 내리기 때문이다. 다시말해 호스팅 업체 측에서 "우리들이 데이터를 유실해도 복원해주지 않는다."는 말을 사건이 발생하기 전에도 꾸준히 알려왔다면 업체측의 잘못은 경감되지만, 전혀 알리고 있지 않다가 사건 발생 후에 약관 조항에 적혀있었다고 말하는 것은 통할 가능성이 그리 높지 않다.

결국 나야나 측이 13억 원을 지불하여 복호화 키를 받겠다고 선언하였는데, 수많은 피해를 입은 상황에서의 어쩔 수 없는 선택이라는 입장은 이해하지만 테러와의 협상을 한 것이나 다름없다는 비판이 쏟아지는 상황. 사실상 전 세계의 해커들에게 호구 선언을 한 것이나 다름없으며, 이로 인해 한국이 해커들에게 집중 마크당해 랜섬웨어가 더욱 기승을 부릴 것이라는 우려가 매우 많다. 절대다수의 국가에서 테러와의 협상을 절대적으로 꺼리는 이유는 단순한 분풀이의 문제가 아닌, 범죄 집단에게 본보기를 보여 위협함으로서 추가 피해를 방지하기 위함이라는 것을 상기하자. 또한 사장이 파산하거나 줄소송을 당하게 되더라도 그것은 전적으로 비즈니스의 관리를 소홀히 한 인터넷나야나 측의 책임으로, 이에 대해 옹호를 받거나 다른 누군가가 책임을 질 이유는 전혀 존재하지 않는다. 하물며 심각한 피해 상황에서도 안일하고 무책임한 태도로 고객을 대해 온 기업이라면 더더욱. 실제로 나야나가 해커에게 비트코인을 지불하기로 한 며칠 후 국내 다수의 금융회사를 대상으로 해외의 해커 그룹인 아르마다 컬렉티브(Armada Collective)가 디도스 공격을 수행 후 비트코인을 요구하는 사태가 벌어졌다.

그나마 다행인 건 해커가 먹튀하진 않았다는 것. 문제는 그럼에도 데이터를 완전히 복구할 수는 없었다는 것이다.

5. 알려진 피해 웹사이트


- 인물
  • 정의당 심상정 대표 (www.minsim.or.kr) : 복구 완료


- 기관
  • 한국에이즈퇴치협회 (www.aids.or.kr)

  • 한국일어일문학회 (www.hanilhak.or.kr)

  • 서울대학교 분자의학 및 바이오제약학과 (mmbs.snu.ac.kr)

  • 비교민주주의연구센터 (www.ccds.or.kr)

  • 대한약침학회 (www.isams.org)

  • Korea Journal (www.ekoreajournal.net)

  • 한국청소년골프협회 (www.kyga.co.kr)

  • 건국대학교 법학연구소 (ils.konkuk.ac.kr)

  • 한국음운론학회 (www.phonology.or.kr)


- 상업
  • 고일 (www.koil.co.kr)

  • 아소비바 (www.asobiba.co.kr) - 네코온나(www.nekoonna.com)라는 사이트로 새롭게 리뉴얼함.

  • 호텔아벤트리부산 (www.aventreehotelbusan.com)

  • 홍콩폰 (www.hkphone.net) - 임시로 옥션의 판매자 페이지로 연결되고 있음.


- 언론
  • 에코저널 (www.ecojournal.com)

  • 재림신문 (www.sdanews.org)

  • 문화예술 웹진 크리틱-칼(www.critic-al.org)


- 노동조합
  • 유신코퍼레이션 노동조합 (www.yooshin.org)


- 개인
  • 길호넷(칼무리) (www.kilho.net) - 6월 12일, 3일자 백업본으로 복구되었다.

  • G매크로 홈페이지 (www.gmacro.co.kr)

  • 루시드 폴 블로그 물고기마음(www.mulgogi.net)


- 커뮤니티
  • TPTP (www.premiermania.net)

  • 맨유당사 (www.redsmanutd.com) -복구되었음

  • 영남대학교 커뮤니티 와이유키키 (www.yukiki.net)


- 기타
  • 꿀디자인(www.gguldesign.com)

  • 명노창기타공방(www.mncguitar.co.kr)

[더 많은 목록 보기]

위에 언급된 웹사이트는 언론이나 커뮤니티 등을 통해 알려진 일부이고, 실제 피해 웹사이트는 5천여 개에 이르는 것으로 여겨졌으며, 최종 확인된 바로는 피해 웹사이트는 3400여 개이다. 언론에 보도되지 않은 중소 쇼핑몰이나 기업 웹사이트의 자료/데이터베이스 유실, 신뢰도 저하 등의 피해를 합하면 천문학적일 것으로 추정된다. 특히 이들 웹사이트 중 상당수가 해당 기관/단체에서 직접 나야나에 입주한 것이 아니라 웹 에이전시에 사이트 제작과 관리를 위임한 것이기 때문에 2차 피해도 클 것으로 예상된다.

우습게도 유료 호스팅 서버는 모두 털렸으나 나야나에서 제공하던 도메인 무료 호스팅 서비스의 서버는 무사한 것으로 알려졌다. freekr2, freekr3, freekr4.nayana.com이 무료 호스팅으로서 정상적으로 작동한다. 하지만 무료 이미지 호스팅(img01.naya.kr)는 감염된 것으로 보인다.

[ 출처 : 나무위키 | 최종수정시각 : 2017-07-12 13:09:51 |  링크 ]