1. 개요
2017년 6월, 대한민국의 웹 호스팅 업체인 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레버스(Erebus)의 리눅스용 변종에 일제히 감염된 사건.대한민국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다. 다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 피해가 더욱 커졌다. 결국 나야나 측에서 해커가 요구한 금액을 지불하는 방식으로 마무리되었다.
에레버스를 상세 분석한 결과 공격지는 브라질로 추정된다.
2. 인터넷나야나는 어떤 업체인가
인터넷나야나는 2001년 5월 11일 설립된 업체로서 웹 호스팅, 도메인 네임 판매, 웹사이트 제작 등을 주 사업 분야로 삼는다. 본사는 가산디지털단지 내 서울특별시 금천구 디지털로9길 99(가산동 60-11번지) 스타밸리타워 11층 1107호에 입주해 있다.2017년 기준으로 16년의 역사를 지닌 업계에서는 중견에 속하는 업체이다. 그만큼 지명도도 상당한 편으로서 나야나의 호스팅을 이용하는 고객 사이트는 1만여 개에 이른다. 또한 무료 계정 서비스도 제공하였으므로 블로그 시대 이전인 2000년대 초반 당시 무료 계정으로 개인 홈페이지를 만들 때 나야나를 선택하는 경우가 많았기에 개인 사용자들에게도 이름이 알려진 편이었다.
3. 진행 과정
6월 10일 토요일 새벽, 나야나의 서버에 에레버스(Erebus) 랜섬웨어가 감염되었다. 에레버스는 윈도우를 타깃으로 한 랜섬웨어이나 나야나는 리눅스 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다.[1] 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다.나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해 주겠다는 입장을 밝혔다.[2]
호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다.[3] 이 중 SBS 8 뉴스의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.[4]
6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 비트코인(17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다.[5] 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것[6]을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다.
사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원 및 사이버수사대와 공조하겠으니 동요하지 말고 믿고 기다려달라는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다.[7] 게다가 이 공지가 올라온 후인 6월 12일에도 나야나 자유 게시판에 올라온 글에 따르면, FTP를 이용한 서버 상에서 랜섬웨어에 의한 암호화가 이루어지고 있다.
6월 12일 16시경 올라온 나야나의 공지에 의하면, 해킹된 페이지의 파킹 처리(공사 중 등의 페이지처럼 안내문을 띄우는 것), 협상 비용 마련을 진행 중이라고 한다. 또한 해커와의 협상 내용 또한 공개하였는데, 해커는 대출, 파산, 회사 규모와 연봉, 그리고 가족까지 구체적으로 언급하면서 협박했다.
[원문]
My boss tell me, your buy many machine, give you good price
550 BTC
If you do not havce enough money, you need make a loan
You company have 40+ employees,
every employees's annual salary $30,000
all employees 30,000*40 = $1,200,000
all server 550BTC = $1,620,000
If you can't pay that, you should go bankrupt.
But you need to face your childs, wife, customers and employees.
Also you will lost your reputation, business.
You will get many more lawsuits.
My boss tell me, your buy many machine, give you good price
550 BTC
If you do not havce enough money, you need make a loan
You company have 40+ employees,
every employees's annual salary $30,000
all employees 30,000*40 = $1,200,000
all server 550BTC = $1,620,000
If you can't pay that, you should go bankrupt.
But you need to face your childs, wife, customers and employees.
Also you will lost your reputation, business.
You will get many more lawsuits.
[한국어 해석][8]
우리 총책이 말하길, 너네 기계도 많이 산다며
비트코인 550개면 합당한 가격 아니야?
(복호화하기에)충분한 돈이 없으면 대출이라도 받아.
너네 회사 직원 40명 넘어.
평균 연봉도 다 3만 달러[9]는 되네.
3만 달러 * 40명 = 120만 달러
서버값 = 비트코인 550개 = 162만 달러[10]
돈 못 내겠으면 파산하든가.
근데 너희 애들, 와이프, 고객들, 직원들 얼굴 볼 수 있겠니?
넌 평판과 명성을 모두 다 잃고
수많은 소송에 시달리게 될 거다.
우리 총책이 말하길, 너네 기계도 많이 산다며
비트코인 550개면 합당한 가격 아니야?
(복호화하기에)충분한 돈이 없으면 대출이라도 받아.
너네 회사 직원 40명 넘어.
평균 연봉도 다 3만 달러[9]는 되네.
3만 달러 * 40명 = 120만 달러
서버값 = 비트코인 550개 = 162만 달러[10]
돈 못 내겠으면 파산하든가.
근데 너희 애들, 와이프, 고객들, 직원들 얼굴 볼 수 있겠니?
넌 평판과 명성을 모두 다 잃고
수많은 소송에 시달리게 될 거다.
미래창조과학부는 12일 오전 브리핑을 통해 인터넷나야나의 복구를 위해 필요한 조치를 지원하겠다는 입장을 밝혔다. 구체적으로는 한국인터넷진흥원과의 상세 취약점 점검을 통해 추가 피해를 막기 위한 보안 미비사항 지도와 기술 지원이 제공된다.[11] 한편 부산의 한 중소기업이 데이터 복구 업체를 통해 개별적으로 해커에게 비트코인을 지불하여 데이터를 복구받은 사례에 대해 한국인터넷진흥원은 '올바른 해결방식이 아니다'라고 우려를 나타냈다.[12]
업계 관계자들은 백업을 용이하게 하기 위해 운영 서버와 백업 서버를 작업용 윈도우 PC에 SMB로 상시 마운트해 놓지 않았는가 추정하였다. 보안 상식상 말도 안되는 작업 방식이지만, 이렇게 수많은 서버가 순식간에 감염되고, 백업을 지원하지 않는 무료망은 오히려 감염되지 않은 상황이 쉽게 설명되기 때문이다.[13] 이는 KISA의 조사 결과와는 상관이 없는 일선 IT 커뮤니티의 추측 중 하나일 뿐이었고 결국 틀렸다.
6월 13일 나야나 측의 발표에 따르면 해당 랜섬웨어의 활동에 윈도우 서버는 무사하고 리눅스 서버만이 피해를 입었다고 한다. 처음부터 나야나의 리눅스 서버를 노린 것으로 파악된다.[14] 안랩의 분석에 따르면 이 랜섬웨어는 리눅스용 ELF 형식을 하고 있으며, 따라서 이번 사태는 윈도우 서버를 거쳐서 감염된 것이 아니라 처음부터 리눅스용 변종이었던 것으로 드러났다.[15]
2017년 6월 14일 9시 55분, 대표이사의 이름을 건 사과문과 현황글이 올라왔다. 나야나에서 4억의 현찰과 법인매각으로 8억, 총 12억 지불로 해커와 협상 진행 중이다. 해커는 14일 24:00까지 18억이 입금되지 않으면 비용을 2배로 올리겠다고 했다고 한다.
같은 날 12시를 기점으로 약 하루 동안 인터넷나야나 홈페이지에 접속이 불가능했는데, 이 시기에 임시 사이트가 만들어졌다. 6월 24일 시점에서 종종 불안정해지므로, 기존 사이트가 접속되지 않으면 임시 사이트로 접속하거나, 임시 사이트가 접속되지 않으면 기존 사이트로 접속할 것을 권한다.
2017년 6월 14일 16:21분, 13억에 해커 측과 합의하여 복호화 키를 받기로 하였다는 공지가 새로 등록되었다. 이는 2017년 현재까지 알려진 랜섬웨어 중에서 최고액이다. 그리고 1차 복호화 키를 받았다고 한다. 복구에는 성공했지만 16시간 동안 10여 개의 웹사이트를 복구하는데 그쳐 작업 시간이 길다고 한다. 나야나는 분할 상환 방식을 택했는데, 이는 금액을 마련할 시간(비트코인 매입 시간 등)을 벌기 위함도 있겠지만 돈을 다 줬다가 복구가 안되면 돈만 날리는 것이 됨으로 이를 방지하기 위함으로 보인다. 또한 나야나의 인수 의사를 밝힌 기업이 회사 자금을 담보로 자금을 빌려주는 형식으로 자금을 제공하여, 경영권은 그대로 유지되었다고 한다.
16일 스마일서브에서 랜섬웨어 공격 분석을 완료했다. 알려진 바와는 달리 Samba나 SMB 프로토콜과는 관련되어 있지 않으며, 공격의 원인은 내부자 공격이나, 내부 컴퓨터나 외부의 접속 허용 컴퓨터의 감염으로 인한 2차 공격으로 추정된다고 한다. 보고서 주소. 문서의 내용 상 뭔가를 잘못했다는 내용보다는 제대로 했는데 뭔가 음모의 세력이나 내부자가 있을 거라는, 마치 회사는 제대로 된 보안조치를 했는데도 불구하고 당했다는 뉘앙스를 풍긴다. 데이터 보안의 기본 중의 기본인 백업 데이터의 격리에 대해서는 일언반구도 없는 상황. 물론 대형 서버는 격리가 매우 힘들고, 격리를 위해서는 2배의 물리적 저장장치를 확보하여야 한다. 하지만 이는 호스팅 가능 서버 수와 백업 용량의 선택일 뿐이며, 인터넷나야나를 비롯한 웹호스팅 업체는 대부분 전자를 선택한다.
6월 22일에 올라온 12차 공지에 의하면 복호화 키를 모두 확보한 것으로 보여지며 전화 상담의 어려움, 회생 의지를 드러냈다. 아래는 12차 공지의 일부.
2017년 06월 21일까지 1~3차 협상에서 복호화키의 정상작동과 협상 그리고 복호화키를 받아 복구하기 위한 서버준비까지 동시에 진행하는 과정이 있었으며 이 과정에서 저희 회사의 모든 인력이 총동원되었지만, 턱없이 부족한 복구인력 및 장비 등으로 인해 고객님들께 안내 등의 대처가 미흡하였습니다.
현재 3차까지의 모든 키를 받았으며 복구를 위해 최선을 다하고는 있지만, 아직도 많은 시간이 필요할 것으로 예상하며 그로 인한 고객님들의 피해 또한 예상됩니다.
(중략)
고객님들의 피해에 대해서도 외면할 생각 없습니다. 다만 현재 회사 사정에서는 해드릴 수 있는 것이 거의 없습니다. 회사의 모든 자산을 담보로 10억 정도의 차입금이 발생한 상황입니다.
저희 회사에 회생의 기회를 주신다면 앞으로 최선을 다해 복구하고 랜섬웨어 공격과 그로 인한 장애에 대한 보상 계획안을 만들어 보상의 이루어질 수 있도록 노력하겠습니다.
또한, 앞으로 보안이나 백업 등 서비스의 품질에도 더 신경 써 재발 방지를 위해서도 부단히 노력하겠습니다.
그리고 이번 장애로 피해를 보신 상황임에도 불구하고 응원해주시고 격려해주신 모든 분들께 감사 말씀드립니다.
복구과정에서 필요했던 200여대의 서버와 수많은 엔지니어 인력을 지원해주신 업계관계자 분들께도 진심으로 감사 드리며 평생 잊지 않고 노력하는 모습 보여드리겠습니다.
저로서는 이번 랜섬웨어 공격이 불가항력적인 일이란 생각에 모든 것을 내려놓고 포기하고 싶은 심정이었습니다.
그러나 저와 같은 피해자가 수천 수만 명이 될 수도 있는 상황을 만들 수 없어 모든 것을 포기하더라도 자료복구만은 해야 하겠다는 생각으로 복구를 진행했습니다.
해커와의 협상이 해서는 안 되는 일이란 것도 알고 있습니다. 저 혼자만의 아니 저희 회사만의 피해로 끝나는 상황이었다면 해커와의 협상은 하지 않았습니다.
그러나 피해의 규모가 너무도 크고 너무나도 많은 분들이 피해를 볼 것이 불 보듯 뻔한 상황이라 어쩔 수 없는 선택이었습니다.
이제는 3차까지의 협상이 모두 진행되어 복호화키값을 모두 받았으니 최선을 다해 복구에만 전념하여 최선을 다해 모두 복구될 수 있도록 노력하겠습니다.
(중략)
보상에 대해서는 고객님들의 피해가 너무도 다양하고 피해 정도가 다르므로 이에 대한 피해 규모 산정에 고심하여 회사가 회생할 수 있는 방향으로 여력이 되는 한 최대한 보상할 수 있도록 하겠습니다.
회사가 회생하지 못한다면 보상 또한 하고 싶어도 할 수 없는 상황입니다.
우선 복구가 완료된 이후 피해 및 보상계획에 대해 공지하도록 하겠습니다.
[전화 상담에 대한 안내]
전화 상담이 이루어지지 못한 이유는 한가지입니다.
저희 전 직원이 모두 전화 상담을 한다고 해도 상담을 다 할 수도 없을뿐더러 전화 상담을 하면 할수록 복구작업은 늦어지고 결국은 복구가 점점 어려워지는 상황이 되어 복구할 수 없기 때문입니다.
고객님들의 답답하고 하루하루 사이트가 열리지 않아 생기는 피해를 모르는 것은 아니나 그렇다고 전화를 붙잡고 있으면 복구는 할 수 없는 상황이기 때문에 공지로 안내해드리고 있는 점에 대해 고객님들의 양해 부탁드립니다.
2017년 7월 10일부터 모든 전화 상담을 받을 수 있도록 하겠습니다. 그때까지는 복구에만 전념할 수 있도록 간곡히 부탁드리겠습니다.
대신 복구 상황에 대해 상세한 진행 공지는 지속해서 해나가도록 하겠습니다.
복구가 100% 될지도 아직 미지수인 상황에서 상담이나 각종 피해, 보상 등을 협의할 수 없는 입장입니다. 힘드시고 답답하시겠지만 넓은 아량으로 이해해주시고 조금만 더 저희가 복구에 전념할 수 있도록 도와주십시오.
고객님들 입장에서는 너무 이기적이고 기막히고 화나는 내용의 공지라고 생각하실 수도 있습니다. 다만 현재 저희가 할 수 있는 최선을 다하고 있으니 믿어주십시오.
감사합니다.
현재 3차까지의 모든 키를 받았으며 복구를 위해 최선을 다하고는 있지만, 아직도 많은 시간이 필요할 것으로 예상하며 그로 인한 고객님들의 피해 또한 예상됩니다.
(중략)
고객님들의 피해에 대해서도 외면할 생각 없습니다. 다만 현재 회사 사정에서는 해드릴 수 있는 것이 거의 없습니다. 회사의 모든 자산을 담보로 10억 정도의 차입금이 발생한 상황입니다.
저희 회사에 회생의 기회를 주신다면 앞으로 최선을 다해 복구하고 랜섬웨어 공격과 그로 인한 장애에 대한 보상 계획안을 만들어 보상의 이루어질 수 있도록 노력하겠습니다.
또한, 앞으로 보안이나 백업 등 서비스의 품질에도 더 신경 써 재발 방지를 위해서도 부단히 노력하겠습니다.
그리고 이번 장애로 피해를 보신 상황임에도 불구하고 응원해주시고 격려해주신 모든 분들께 감사 말씀드립니다.
복구과정에서 필요했던 200여대의 서버와 수많은 엔지니어 인력을 지원해주신 업계관계자 분들께도 진심으로 감사 드리며 평생 잊지 않고 노력하는 모습 보여드리겠습니다.
저로서는 이번 랜섬웨어 공격이 불가항력적인 일이란 생각에 모든 것을 내려놓고 포기하고 싶은 심정이었습니다.
그러나 저와 같은 피해자가 수천 수만 명이 될 수도 있는 상황을 만들 수 없어 모든 것을 포기하더라도 자료복구만은 해야 하겠다는 생각으로 복구를 진행했습니다.
해커와의 협상이 해서는 안 되는 일이란 것도 알고 있습니다. 저 혼자만의 아니 저희 회사만의 피해로 끝나는 상황이었다면 해커와의 협상은 하지 않았습니다.
그러나 피해의 규모가 너무도 크고 너무나도 많은 분들이 피해를 볼 것이 불 보듯 뻔한 상황이라 어쩔 수 없는 선택이었습니다.
이제는 3차까지의 협상이 모두 진행되어 복호화키값을 모두 받았으니 최선을 다해 복구에만 전념하여 최선을 다해 모두 복구될 수 있도록 노력하겠습니다.
(중략)
보상에 대해서는 고객님들의 피해가 너무도 다양하고 피해 정도가 다르므로 이에 대한 피해 규모 산정에 고심하여 회사가 회생할 수 있는 방향으로 여력이 되는 한 최대한 보상할 수 있도록 하겠습니다.
회사가 회생하지 못한다면 보상 또한 하고 싶어도 할 수 없는 상황입니다.
우선 복구가 완료된 이후 피해 및 보상계획에 대해 공지하도록 하겠습니다.
[전화 상담에 대한 안내]
전화 상담이 이루어지지 못한 이유는 한가지입니다.
저희 전 직원이 모두 전화 상담을 한다고 해도 상담을 다 할 수도 없을뿐더러 전화 상담을 하면 할수록 복구작업은 늦어지고 결국은 복구가 점점 어려워지는 상황이 되어 복구할 수 없기 때문입니다.
고객님들의 답답하고 하루하루 사이트가 열리지 않아 생기는 피해를 모르는 것은 아니나 그렇다고 전화를 붙잡고 있으면 복구는 할 수 없는 상황이기 때문에 공지로 안내해드리고 있는 점에 대해 고객님들의 양해 부탁드립니다.
2017년 7월 10일부터 모든 전화 상담을 받을 수 있도록 하겠습니다. 그때까지는 복구에만 전념할 수 있도록 간곡히 부탁드리겠습니다.
대신 복구 상황에 대해 상세한 진행 공지는 지속해서 해나가도록 하겠습니다.
복구가 100% 될지도 아직 미지수인 상황에서 상담이나 각종 피해, 보상 등을 협의할 수 없는 입장입니다. 힘드시고 답답하시겠지만 넓은 아량으로 이해해주시고 조금만 더 저희가 복구에 전념할 수 있도록 도와주십시오.
고객님들 입장에서는 너무 이기적이고 기막히고 화나는 내용의 공지라고 생각하실 수도 있습니다. 다만 현재 저희가 할 수 있는 최선을 다하고 있으니 믿어주십시오.
감사합니다.
13차, 14차 공지에 의하면, 복구 작업 중이며 일부 서버는 복구가 불가능할 것이라고 한다. 2017년 7월 10일에 웹호스팅 서버 복호화 작업이 끝났고 개별 사이트 복구 작업은 아직 진행 중인데, 7월 31일에 피해 계정 보상 처리 안내와 함께 망 분리된 백업 시스템을 새로 구축했음을 알렸다.
6월 28일, 미래부의 중간 조사 결과 발표 내용에 의하면, APT 공격과 랜섬웨어가 결합한 사고이며 관리자용 PC에 보안 문제가 있었다고 한다.
4. 문제점
나야나 측은 이중백업을 통해 이용자들이 업로드한 데이터를 백업하였다고 밝혔으나 망 분리가 제대로 이루어지지 않아 내/외부 백업 데이터까지 랜섬웨어에 감염시키고 말았다. 실제로 나야나는 이미 '네트워크 백업을 통해 스토리지 백업서버에 백업을 진행'함을 밝힌 바 있다. ISP나 IDC, 호스팅 업체는 정보보호관리체계상의 망분리 의무 사업자로 분류되나 나야나는 매출 규모에서 이 기준에 미치지 못하여 사각지대에 놓여있었다.[16] 나야나는 또한 이전부터 계정 접속을 위한 비밀번호조차 암호화하지 않는 등 보안에 소홀한 행태를 보여 왔다.다만 백업 시스템을 망분리하는 경우는 ISP, 게임포털 등에서 일반적인 구성이 아니라는 말이 있다. 하루 1회 백업과 차등 백업 등 빈번한 백업이 이루어지기 때문에 망분리할 경우 하루에 몇 번 이상 망을 연결하기 때문에 의미가 없다. 네트워크가 완전 분리되거나 연결되지 않은 콜드 백업의 경우 자사 인프라 중심의 서비스에는 가능하다. 이 말대로라면 뉴스는 웹호스팅 회사와 일반 IDC 서비스의 현실을 모른다는 건데, 이 이야기는 전문 망분리 장비의 존재를 무시한 것이다. 전문적인 망분리 백업 장비는 라우팅 테이블 관리로 양측 망을 분리해서 관리하고 기기 자체의 철저하게 권한 관리된 프로세스가 파일만을 반대편 망으로 전송하는 구조로 동작한다. 망을 열었다 닫았다 하면서 동작하지 않는다.
나야나의 경우 각종 백업 솔루션 CDP를 이용한 이미지 스냅샷 백업 기능을 이용하였고, 기본적인 호스팅 업체의 기본 운영 방식으로 보안 및 백업 운영이 되었다. 그러나 모든 서버의 계정이 털리면서 스냅샷을 저장한 백업 서버마저도 정상 복구가 불가능하게 데이터가 파괴되었다. 내외부망은 IPTables라는 IP 기반의 보안 방식으로 사무실, 호스팅 서버, 외부 망이 분리되었다. 문제는 마이크로 타게팅으로 보안 장비에 걸리지 않게 악성 코드가 APT 형태로 공격이 들어왔고 망이 혼류된 지점(VoC용 PC)이 침입되어 문제가 되었을 가능성이 있다고 스마일서브 대표는 주장했다. APT가 아니라 그냥 윈도우용 단순 악성 코드였을 수 있다.
백업 솔루션 CDP(Continuous Data Protection)는 백업 솔루션이라기보단 지연된 RAID에 가깝다. 원래 전통적인 백업 시스템은 증분 백업 공간이 가득 차면 다음 풀 백업 일정까지 백업을 멈추고 담당자에게 연락을 하게 돼 있다. 절대 무슨 일이 있어도 예정된 풀 백업 일정을 어기고 풀 백업 데이터에 손대지 않는다. 증분 공간을 모두 소진한 뒤의 원본 데이터는 보호받지 못하지만 그 대신 특정 시각의 데이터로 되돌리는 것을 보장한다. CDP는 특정 시각이 아니라 특정 쓰기 용량분을 되돌리는 것을 보장한다. 예를 들어 전통적인 백업 시스템이 2017년 8월 1일자 데이터로 되돌리는 것을 보장할 때 CDP는 현재 시각으로부터 1GB까지의 쓰기 작업을 되돌리는 것을 보장한다. 즉 더미 파일을 썼다 지웠다 하면서 1분만에 1GB를 소진해 버리면 CDP 백업 솔루션은 겨우 1분 분량의 백업 데이터를 가진 셈이 되고 만다. CDP는 그 대신 쓰기 작업이 발생할 때마다 추적 로그를 남기므로 1초 전 시점으로 되돌아가는 것도 가능하다. 전통적 백업 시스템은 보통 하루 전 시점이 가장 최근 시점이 된다.
공격 형태가 APT + 리눅스 랜섬웨어라면 짧지 않는 시간 나야나의 서비스 운영, 보안 상태를 확인하면서 준비한 것으로 보인다. 단, 서버의 암호를 일일이 기억하기 힘들어 USB 안의 엑셀 파일로 각 서버의 암호를 관리한 것이 문제로 보인다. OTP 및 2차 인증을 이용했다면 백업 서버까지 당하는 일을 발생하지 않았을 것이다. 대부분 웹호스팅 업체는 USB에 패스워드를 엑셀로 저장하여 운영하는 경우가 많다. DR 서버나 중요 인프라 서버까지 한 덩어리로 패스워드를 관리한 것은 계란을 한 바구니에 담은 것과 비슷하다.
모 소셜 커머스의 경우 몇 년 전까지 회사명을 넣은 패스워드를 DB의 패스워드로 한 다음 3개월마다 재활용하여 사용했다. 그것보다 더 무서운 게 웹호스팅 업계에서 주로 사용하는 2차 인증이 없이 엑셀에 패스워드를 담아 운영하는 서버 운영이다.
나야나를 비롯한 다수의 국내 호스팅 업체가 채택한 '사단법인 한국인터넷호스팅협회'의 공동약관은 "고객은 자신이 운영 중인 서비스의 데이터 등에 대해 별도로 저장할 의무가 있으며 외부 침입 등으로 인한 정보의 유출, 누락 또는 자료의 손실에 대해 회사는 책임을 지지 않습니다."라고 명시하고 있다. 국내의 많은 호스팅 업체들이 외부 해킹, 랜섬웨어 감염으로 인한 피해에 대해 고객에게 책임을 떠넘기는 약관을 내세우고 있어 국내의 호스팅 업계 전반에 대한 신뢰도 하락이 우려된다. 어이없는 것은 랜섬웨어 등의 피해는 엄연한 호스팅 업체 잘못이다. 예를 들자면 은행이 보안을 허술하게 해놓고 털리니까 고객한테 책임을 떠넘기는 꼴.
그러나 이런 약관을 미리 알렸다고 해도 이것이 바로 법적 효력을 갖는 것은 아니다. 상대에게 일방적으로 불리한 약관은 인정되지 않는 경우가 많고, 약관을 미리 알렸고 쌍방이 이에 동의했다고 하더라도 약관 내용을 얼마나 성실하게 전달했는지, 발생할 수 있는 여러 경우의 수를 상정하여 예외조항에 관한 설명도 빠짐없이 알렸는지 등을 고려하여 판단을 내리기 때문이다. 다시 말해 호스팅 업체 측에서 "우리들이 데이터를 유실해도 복원해주지 않는다."는 말을 사건이 발생하기 전에도 꾸준히 알려왔다면 업체 측의 잘못은 경감되지만, 전혀 알리고 있지 않다가 사건 발생 후에 약관 조항에 적혀있었다고 말하는 것은 통할 가능성이 그리 높지 않다.
결국 나야나 측이 13억 원을 지불하여 복호화 키를 받겠다고 선언하였는데, 수많은 피해를 입은 상황에서의 어쩔 수 없는 선택이라는 입장은 이해하지만 테러와의 협상을 한 것이나 다름없다는 비판이 쏟아지는 상황. 사실상 전 세계의 해커들에게 호구 선언을 한 것이나 다름없으며, 이로 인해 한국이 해커들에게 집중 마크당해 랜섬웨어가 더욱 기승을 부릴 것이라는 우려가 매우 많다. 절대 다수의 국가에서 테러와의 협상을 절대적으로 꺼리는 이유는 단순한 분풀이의 문제가 아닌, 범죄 집단에게 본보기를 보여 위협함으로서 추가 피해를 방지하기 위함이라는 것을 상기하자. 또한 사장이 파산하거나 줄소송을 당하게 되더라도 그것은 전적으로 비즈니스의 관리를 소홀히 한 인터넷나야나 측의 책임으로, 이에 대해 옹호를 받거나 다른 누군가가 책임을 질 이유는 전혀 존재하지 않는다. 하물며 심각한 피해 상황에서도 안일하고 무책임한 태도로 고객을 대해 온 기업이라면 더더욱. 실제로 나야나가 해커에게 비트코인을 지불하기로 한 며칠 후 국내 다수의 금융회사를 대상으로 해외의 해커 그룹인 아르마다 컬렉티브(Armada Collective)가 디도스 공격을 수행 후 비트코인을 요구하는 사태가 벌어졌다.
그나마 다행인 건 해커가 먹튀하진 않았다는 것. 유니코드 문제로 인하여 일부 데이터가 복구되지 못하는 문제가 있었다.# 한글로 작성한 파일이름이 복구되지 않는 문제가 생겨서 결국 복구하지 못했는데, 이는 해커가 유니코드 처리를 제대로 못한 것이며(UTF8 vs latin1), 그것도 못할 정도로 멍청한 업계 공학자는 드물다고 작성되어 있었다. 한낱 �도 제대로 고려 하지 못하는 그렇게 멍청한 해커 프로그래머놈에게 13억을 주는 등 설설 기게 만든 랜섬웨어가 얼마나 무서운지 깨달아야 하며,
5. 알려진 피해 웹사이트
- 기관
- 한국에이즈퇴치협회 (www.aids.or.kr)- 복구 완료
- 한국일어일문학회 (www.hanilhak.or.kr)- 복구 완료
- 서울대학교 분자의학 및 바이오제약학과 (mmbs.snu.ac.kr)- 복구 완료
- 비교민주주의연구센터 (www.ccds.or.kr)- 복구 완료
- 대한약침학회 (www.isams.org)- 복구 완료
- Korea Journal (www.ekoreajournal.net)- 복구 완료
- 한국청소년골프협회 (www.kyga.co.kr)- 복구 완료
- 건국대학교 법학연구소 (ils.konkuk.ac.kr)- 복구 완료
- 한국음운론학회 (www.phonology.or.kr)- 복구 완료
- 상업
- 고일 (www.koil.co.kr)- 복구 완료
- 아소비바 (www.asobiba.co.kr) - 네코온나(www.nekoonna.com)라는 사이트로 리뉴얼.
- 호텔아벤트리부산 (www.aventreehotelbusan.com)- 복구 완료
- 홍콩폰 (www.hkphone.net) - 복구 완료
- 언론
- 에코저널 (www.ecojournal.com)- 복구 완료
- 재림신문 (www.sdanews.org)- 복구 완료
- 문화예술 웹진 크리틱-칼(www.critic-al.org) - 복구 완료
- 노동조합
- 유신코퍼레이션 노동조합 (www.yooshin.org)- 복구 완료
- 개인
- 커뮤니티
- TPTP (www.premiermania.net) - 복구 완료
- 맨유당사 (www.redsmanutd.com) - 복구 완료
- 영남대학교 커뮤니티 와이유키키 (www.yukiki.net)- 복구 완료
- 제이위키 (https://jwiki.kr/wiki)- 복구 완료
- 기타
- 꿀디자인(www.gguldesign.com)- 복구 완료
- 명노창기타공방(www.mncguitar.co.kr)- 복구 완료
위에 언급된 웹사이트는 언론이나 커뮤니티 등을 통해 알려진 일부이고, 실제 피해 웹사이트는 5천여 개에 이르는 것으로 여겨졌으며, 최종 확인된 바로는 피해 웹사이트는 3400여 개이다. 언론에 보도되지 않은 중소 쇼핑몰이나 기업 웹사이트의 자료/데이터베이스 유실, 신뢰도 저하 등의 피해를 합하면 천문학적일 것으로 추정된다. 특히 이들 웹사이트 중 상당수가 해당 기관/단체에서 직접 나야나에 입주한 것이 아니라 웹 에이전시에 사이트 제작과 관리를 위임한 것이기 때문에 2차 피해도 클 것으로 예상된다.
6. 코리아IDC 랜섬웨어 감염 사태
2017년 11월 6일, 인터넷나야나의 서버 호스팅 사업부에서 운영하는 코리아IDC가 트루크립터(TrueCrypter) 랜섬웨어에 감염되었다.# 웹 호스팅에 이어 이번에는 서버 호스팅이 공격을 당한 것이다. 이번에 감염된 서버는 9대로, 6월 때보다 피해가 적다.#
웹 호스팅과 달리 서버호스팅 및 코로케이션은 서버 관리를 전적으로 고객사가 직접 하므로 보상에 대한 책임은 없다고 한다. 초기 설정 불량이 아닌 경우는 원격관리 기반으로 포맷과 프로그램 인스톨이 멀리서 가능할 때이다. 모든 시스템이 다 되는 것은 아니고 별도의 IKVM 장비를 썼거나 IPMI, vPro 기반 제품을 쓰는 경우가 해당된다. 이들은 키보드, 마우스, 화면 제어는 되지만 원격포맷 같은 것을 위해서 별도의 보조 운영체제 방식의 펌웨어가 필요하다.
7. 관련 문서
[1] 에레버스(Erebus) 랜섬웨어 주의, 안랩, 2017년 6월 12일.[2] 랜섬웨어 공격으로 인해 서버 점검, 2017년 6월 10일.[3] 홈피·서버 관리업체, 랜섬웨어 감염… 중소온라인 쇼핑몰 홈피 줄줄이 폐쇄(조선일보), 웹호스팅 업체 랜섬웨어 감염...홈페이지 5천여 개 피해 우려(YTN) 등.[4] '고객사 1만여 개' 웹호스팅 업체, 랜섬웨어 감염, SBS 8 뉴스, 2017년 6월 10일.[5] 인터넷나야나 공격 해커, 26억 원 상당의 비트코인 요구, 보안뉴스, 2017년 6월 11일.[6] 나야나 기업정보.[7] Erebus Encrypted로 인한 시스템 장애, 2017년 6월 11일.[8] 읽기 쉽게 의역한 것으로, 원문은 온통 문법 오류 투성이다. 해커가 영어 사용자가 아닌 것으로 추정할 수 있다.[9] 2017-06-14 15시 현재 기준 약 3천 4백만원[10] 2017-06-14 15시 현재 기준 약 18억 3천만원[11] 미래부 "랜섬웨어 감염 인터넷나야나에 기술 지원할 것"(종합), 연합뉴스, 2017년 6월 12일.[12] "해커에 돈줬더니 원상복구" 랜섬웨어 기업피해 '현실화', 뉴스1, 2017년 6월 12일.[13] 인터넷나야나 사태, 원인은 Samba... 랜섬웨어 예방책은?, OSEN, 2017년 6월 13일[14] 웹호스팅 업체 ‘인터넷나야나’ 랜섬웨어 감염…사고 원인 파악 중 - 블로터, 2017년 6월 13일.[15] 국내 웹호스팅 업체 리눅스 서버 감염시킨 에레버스(Erebus) 랜섬웨어 - 안랩, 2017년 6월 12일.[16] 인터넷나야나 랜섬웨어, 미흡한 망분리 탓…호스팅·백업서버 한 망에, 디지털데일리, 2017년 6월 12일.[17] 나야나에서 제공하는 서브도메인이다.