호스팅업체 인터넷나야나는 '지능형지속위협(APT)'과 랜섬웨어를 결합한 공격에 당한 것으로 드러났다. 해커가 처음부터 인터넷기반 중소사업체의 운영 인프라를 노린 APT 공격을 감행했고 랜섬웨어 공격을 더해 큰 수익을 거뒀단 얘기다. 정부가 발표한 인터넷나야나 침해사고 조사 중간결과 내용이다.
인터넷나야나는 지난 10일 서버 153대에 '에레보스(Erebus)'라 불린 리눅스 기반 변종 랜섬웨어의 공격에 원본 데이터를 무단 암호화 당했다. 71대 웹호스팅 서버에서 돌던 웹사이트 3천348개, 82대 서버호스팅 서버에서 돌던 웹사이트 2천148개(추정)가 운영 장애에 빠졌다.
해커는 미리 백업 데이터를 삭제해 인터넷나야나가 복구할 수 없도록 만들고 암호화를 풀어주는 대가로 50억원 상당의 비트코인 지불을 요구했다. 회사측은 해커와 협상 끝에 지난 13억원 상당의 비트코인을 지불하고 데이터 복호화 키를 받았다. 현재 전직원이 피해 서버의 데이터를 복구 중이다.
인터넷나야나의 침해사고 사례가 알려진 이래로 공격 수법과 최초 침입 경로를 놓고 전문가 의견이 엇갈렸다. 알려진 취약점을 활용해 불특정 다수를 노린 사이버범죄냐, 정교한 침입 기술을 동원한 표적형 공격이냐가 관건이었다. 이번에 정부가 발표한 중간결과 내용은 후자에 가깝다.
미래창조과학부와 한국인터넷진흥원(KISA)은 지난 28일 경기도 정부과천청사 제2차 랜섬웨어 대응 민관협의회를 통해 인터넷나야나 대상 사이버침해사고조사 중간결과를 발표했다. 미래부는 해당 침해사고를 "중소인터넷기업을 대상으로 한 APT공격과 랜섬웨어 공격이 결합된 사고"라 지칭했다.
해커가 인터넷나야나를 해킹한 과정은 이렇게 요약됐다.
해커는 미리 탈취한 계정정보를 사용, 인터넷나야나의 통신용 게이트웨이 서버 1대와 호스팅사업부 웹서버 1대를 해킹했다. 게이트웨이 서버를 인터넷나야나 웹호스팅 고객서버 153대에 우회 접속하기 위한 경유지로 썼다. 그리고 호스팅사업부 웹서버를 악성코드 유포지로 삼았다.
이로써 고객서버 153대에 랜섬웨어를 설치했다. 동시에 회사측의 자체 및 별도 백업서버 데이터를 복구 불가능한 수준으로 삭제했다. 이어 지난 10일 오전 1시를 기해 고객서버에 설치된 랜섬웨어를 일제히 실행, 고객서버의 데이터베이스(DB), 이미지, 프로그램 등 원본 데이터를 암호화했다.
인터넷나야나가 이렇게 운영인프라 전반을 해커에게 장악당한 원인은 뭐였을까.
정부는 인터넷나야나가 관리용 단말 보안, 서버 접근 통제, 관리적 보안, 3가지 기술 및 관리적 보안취약점을 드러내고 있었다고 지적했다. 기존 인터넷나야나 운영환경은 서버 관리 단말로 인터넷에 접속할 수 있었고, 서버 접근을 아이디와 패스워드만으로 허용해 계정 탈취에 취약했으며, 백업정책 등이 지능화 해킹공격에 대응할만한 체계로 보완되지 않았다는 설명이다.
정보통신망법 제45조제2항 '정보보호조치에 관한 지침'은 웹서버 및 백업서버 운영 환경에서 관리용 단말 보안과 서버 접근 통제 영역에 존재하는 기술 및 관리적 취약점을 보완하도록 돼 있다. 다만 이 지침은 강제가 아니라 권고사항으로 돼 있다.
다만 해커의 최초 공격 실마리가 된 계정정보 유출 경위는 아직 확인되지 않았다.
정부는 계정정보 유출 경위를 추가 조사하는 한편 인터넷나야나 측에 관리용 단말보안, 서버 접근 통제, 백업 정책 등 발견된 취약점을 개선, 보완하는 보안강화 조치를 요청했다. 정부는 인터넷나야나가 진행하고 있는 자료 복구 과정에 추가 랜섬웨어 감염 및 공격을 차단하기 위해 현장에 KISA 인력을 파견, 기술지원을 병행 중이라고 밝혔다. 복구 후 전반적인 취약점 점검도 지원할 예정이라 덧붙였다.
이날 정부가 개최한 랜섬웨어 대응 민관협의회에서 전문가들은 랜섬웨어 공격 관련 전망과 피해 예방 방법에 관한 의견을 제시했다. 민관협의회는 지난달 23일 랜섬웨어 예방과 대응을 주제로 통신, 보안, 포털, 소프트웨어(SW) 등 분야별 산학연 전문가가 모여 처음 열렸고 이번에 2차로 진행됐다. 전문가들은 개인과 기업을 넘어 사물인터넷 단말과 융합산업 등 사회 전반으로 확대될 것이라 내다봤다.
관련기사
- 인터넷나야나 해커, 어떻게 침입했을까2017.06.29
- 인터넷나야나 "호스팅 장애 보상 노력하겠다"2017.06.29
- 인터넷나야나 "피해보상·소송 공문 대처 못하고 있다"2017.06.29
- 랜섬웨어, ‘삼바 취약점’ 공격설 사실일까2017.06.29
정부는 유사사고 재발방지를 위해 국내 기업에 기본 보안관리 강화를 요청했다. 네트워크 보안 모니터링 체계 구축, 전용단말 및 일회용패스워드(OTP) 등 관리용 단말 보안강화, 접근통제 및 오프라인백업 등 백업정책 강화를 강조했다. 미래부는 호스팅업체 보안 실태 및 현황조사로 취약점 점검을 실시하고 랜섬웨어 사고시에도 피해를 복구할 수 있는 백업보안 가이드르 보급할 계획이라 밝혔다.
미래부 송정수 정보보호정책관은 "사이버보안은 기업의 존폐를 결정하는 핵심 변수로 선택이 아닌 필수사항"이라며 "랜섬웨어로부터 국민과 기업의 피해를 막을 수 있도록 기본적인 보안수칙 실천과 기업의 보안투자 확대를 위해 노력하겠다"고 말했다.