호스팅업체 인터넷나야나가 해커에게 볼모로 잡힌 데이터 복구를 위해 13억원 정도를 지불하기로 했다.
인터넷나야나는 14일 오후 4시 17분경 공지를 통해 "고객님들의 이익을 최우선적으로 보호하기 위해서 지속적으로 해커와 협상을 진행하여 타결했다"며 "13억원 정도 비용을 지불하여 복호화키 값을 받기로 했다"고 밝혔다.
회사는 "해커가 제시한 비용은 인수 제안을 하였던 업체를 통해 지분을 담보로 마련하기로 했다"며 "현재 이체한도 증액, 비트코인 환전 등 비용지불을 위한 절차를 진행하고 있으며 키를 받는대로 각 서버별 상세한 복원 일정에 대해 공지하도록 하겠다"고 덧붙였다.
이어 "현재까지 보내주신 백업 데이터의 복구 및 공사중 페이지 작업으로 인하여 전화상담이 어렵다"며 "복원 데이터를 가지고 계신 고객님들 중 작업을 요청하시는 경우 cs@nayana.com 또는 postmaster@webmail.nayana.com 로 보내주시기 바란다"고 안내했다.
또 "데이터를 업로드 하실 계정이 필요하신 경우 메일로 요청하시면 신규 서버에 현재 호스팅 정보로 세팅 지원하고 있다"며 "이후 공지는 매일 12시에 게시하도록 하겠다"는 언급으로 공지를 끝맺었다.
이로써 자체 백업 데이터가 없어 복구를 포기할 수밖에 없었던 수천곳의 홈페이지 데이터가 되살아날 가능성이 생겼다. 실제로 모든 데이터가 복구될 수 있을지는 지켜볼 일이다. 인터넷나야나 호스팅서비스의 보안과 백업 관리 체계를 믿었던 이용자들이 하루아침에 잃어버린 데이터를 되찾게 된 건 다행스러운 일이지만, 랜섬웨어 공격자의 부당한 이득을 만드는 선례를 남기고 말았다.
■ 중소 호스팅업체에 무슨 일 있었나
해커는 지난 10일 인터넷나야나가 호스팅 중이던 홈페이지 수천곳의 데이터를 망가뜨렸다. 리눅스 운영체제(OS) 주요 경로의 443가지 확장자 파일을 무단 암호화하는 에레보스 또는 에레버스(Erebus) 랜섬웨어를 동원했다. 이로써 인터넷나야나의 리눅스 서버 300대 중 153대를 감염시켰다. 호스팅 이용자 데이터 원본과 내외부 백업을 암호화해 자체 복구할 수 없게 만들었다.
인터넷나야나는 이날 확인한 감염 피해 사실을 관계당국에 신고했다. 한국인터넷진흥원(KISA)과 경찰청 사이버수사대가 조사 및 수사에 나섰다. 12일 정부 브리핑에 따르면 랜섬웨어로 인한 피해 기업 및 단체 홈페이지 수는 3천400곳 가량이었다. 대부분 규모가 작은 조직이었다. 이날 인터넷나야나에 따르면 해커는 초기 826.2비트코인(27억원)에서 550비트코인(18억원) 수준으로 조정된 복구 비용을 요구했다.
이후 회사는 14일 오전 10시 홈페이지 공지를 통해 후속 협상 상황을 공개했다. 회사는 해커가 요구한 18억원을 도저히 지불하기 어려운 상황이라, 해커에게 4억원을 복구 금액으로 제시했다고 밝혔다. 이 제안이 받아들여지면 피해 고객의 데이터 복구를 진행하고, 성사되지 않을 경우 회사 법인지분매각을 통해 확보할 수 있는 8억원을 포함해 총 12억원 가량을 다시 제안하겠다고 예고했다.
■지분매각 대금 동원해 겨우 합의
14일 오후 현재 인터넷나야나 홈페이지는 더 이상 접속되지 않아, 이 마지막 공지를 확인하려면 인터넷 아카이빙 사이트를 통해야 한다. 공지는 황칠홍 인터넷나야나 대표 명의로 작성됐다. 황 대표는 공지 서두에 "이번 사태로 충격과 피해를 보신 모든 분들께 진심으로 사과드린다"며 "해커의 공격으로 인해 모든 임직원이 어려움을 겪다 보니 대처가 미흡했다"고 사과했다.
관련기사
- 랜섬웨어 감염 리눅스 서버, 어떤 일 생기나2017.06.14
- 인터넷나야나 "랜섬웨어 해커와 협상 중"2017.06.14
- 랜섬웨어 공포…호스팅업체도 당했다2017.06.14
- 웹호스팅업체, 랜섬웨어 감염…일부 사이트 장애2017.06.14
황 대표는 이어지는 내용에서 해커와의 복구 비용 협상에서 요구 수준에 미치지 못하는 금액을 제시할 수밖에 없었던 사정, 협상 결렬시 지분 매각 대금까지 동원을 검토하고 있다는 점, 4억원을 복구 금액으로 제시하며 마지막으로 해커와 접촉해 보낸 메시지 등을 공개했다. 그는 해커에게 "당신이 4억원을 승인한대도 나는 회사를 살리지 못할 것"이라면서도 "고객의 자료만은 복구할 수 있게 도와달라"고 썼다.
인터넷나야나는 이후 실제로 해커와 후속 협상을 진행한 것으로 보인다. 인터넷나야나 공식사이트는 운영 중단 상태지만, 회사가 운영하는 인터넷데이터센터(IDC) 서비스 '코리아IDC'의 공지사항을 통해 이후 경과를 확인 가능하다. 오후 4시께 게재된 5차 공지문에 따르면 회사는 복호화 키 값을 받는 비용으로 13억원 정도를 지불하기로 하고 관련 절차를 진행 중이며, 이후 서버별 상세 복원 일정을 공지하기로 했다.