인터넷나야나, 랜섬웨어 피해 1차 복호화 마무리

감염 1개월만…"일부 서버 파일 복구불가→보상안 제시"

컴퓨팅입력 :2017/07/07 10:48

호스팅업체 인터넷나야나가 지난달 랜섬웨어에 감염된 서버 데이터의 1차 복호화를 마쳤다. 회사측은 피해를 입은 호스팅이용자에게 보상안을 제시했다. 대부분의 호스팅서버 환경은 시간에 따라 기술적으로 정상화 가능하지만, 회사측이 앞서 밝힌대로 모든 서버의 자료를 빠짐없이 100% 완벽하게 복구하진 못할 전망이다.

인터넷나야나는 지난 10일 서버 153대에 '에레보스(Erebus)'라 불린 리눅스 기반 변종 랜섬웨어의 공격에 원본 데이터를 무단 암호화 당했다. 정부 공식 발표에 따르면 71대 웹호스팅 서버에서 돌던 웹사이트 3천348개, 82대 서버호스팅 서버에서 돌던 웹사이트 2천148개(추정)가 운영 장애에 빠졌다.

해커는 미리 백업 데이터를 삭제해 인터넷나야나가 복구할 수 없도록 만들고 암호화를 풀어주는 대가로 50억원 상당의 비트코인 지불을 요구했다. 회사측은 해커와 협상 끝에 지난 13억원 상당의 비트코인을 지불하고 데이터 복호화 키를 받았다. 이후 인터넷나야나는 137대 서버의 데이터베이스(DB) 및 파일 자료를 복구해 왔다.

황칠홍 인터넷나야나 대표는 지난 6일 오후 5시께 사고 관련 15번째 공지를 게재해 1차 복호화 작업이 마무리됐음을 밝혔다. 다만 모든 각 서버 데이터와 파일을 사고 이전 상태로 완벽하게 복구한 것은 아니라고 설명했다.

호스팅업체 인터넷나야나의 에레보스 랜섬웨어 감염사태 관련 15차 공지 일부.

황 대표는 "(해커가 제공한) 복호화 프로그램으로 복호화 시 파일이 빠지는 경우가 있으며 이런 경우 빠진 계정을 다시 복호화하여 빠진 파일을 찾는 과정이 필요하다"며 "복호화가 완료되었으나 홈페이지에 오류가 있으신 분들께서는 문의 게시판에 글 남겨주시면 순차적으로 처리하도록 하겠다"고 말했다.

암호화된 서버 137대의 데이터베이스(DB)는 모두 복호화됐다. 추가 조치가 필요한 건 파일 쪽이다. 회사측 설명대로라면 137대 중 135대 서버는 파일도 모두 복호화할 수 있을 것으로 보인다.

다만 회사측이 랜섬웨어의 암호화 기능이 일부만 작동했다고 밝힌 mu1번(218.145.**.245)과 no3번(218.145.**.159), 2대의 서버에 있던 파일은 복구가 불가능한 상황이다. 원인은 mu1번 서버 쪽의 경우 "원인불명의 하드디스크 오류" 때문이고, no3번 서버 쪽의 경우 복호화 결과물의 한글파일명 깨짐, 한글 이미지경로 불일치 등 해커가 제공한 복호화 프로그램의 오류 문제다.

황 대표는 서버 파일 복구와 관련 "복호화 프로그램으로 복호화 시 파일이 빠지는 경우가 있으며 이런 경우 빠진 계정을 다시 복호화하여 빠진 파일을 찾는 과정이 필요하다"면서 "한글파일 문제만 아니라면 오류는 점진적으로 수정해 나아갈 것"이라고 설명했다.

인터넷나야나 측은 이후 사용자 권한 및 시스템 퍼미션 설정, 계정별 누락된 데이터나 파일 보완 등 추가 작업을 진행할 예정이다. 또 나머지 복호화 작업과 자체 및 이용자들을 통한 오류 점검을 거친 뒤 서버의 보안점검, 새로운 서버로의 교체 단계를 밟기로 했다. 그리고 오는 10일부터 랜섬웨어 복구 작업으로 중단했던 이용자 대상 전화상담을 재개할 방침이다.

인터넷나야나가 최초에 해커의 공격 시도를 허용케 만든 원인은 아직 밝혀지지 않았다. 최근 정부가 공식 발표한 조사 결과는 최초의 침투에 성공한 이후 과정만을 담고 있다.

이런 가운데 황 대표는 자신들의 데이터 백업체계와 한국인터넷진흥원(KISA)의 '정보보호준비도' 평가를 근거로 인터넷나야나가 호스팅사업자 환경에서 나름대로 충실히 보안조치를 해 왔다고 주장했다. 보안에 손을 놓고 있어 랜섬웨어에 속수무책으로 당한 것 아니냐는 일각의 지적에 반박하는 메시지다.

황 대표는 "망 분리 및 단절 백업을 제외하고는 최상위 백업시스템을 유지, 보안에도 특정 관리 IP를 제외하고는 모든 IP를 관리 서버에서 차단하였으며 관리자정보 관리도 열심히 했다"면서 "KISA에서 주관하는 정보보호준비도 평가에서도 완벽한 수준은 아니었으나 서비스가 가능한 수준 이상으로 평가를 받아 왔다"고 강조했다.

관련기사

공지는 인터넷나야나의 랜섬웨어 감염으로 2차 피해를 입은 호스팅 이용자 대상으로 보상안도 담았다. 내용은 이렇다. 복구된 계정에 8월1일부터 10월31일까지 3개월간 무료 이용기간을 보태고, 이용자가 이후 추가 연장시 금액을 30% 할인해 준다. 복구 불가 서버의 이용자들에게는 해당 계정을 영구 무료 사용케 한다.

황 대표는 "복구 불가 서버의 경우 저희도 어떻게든 복구할 방법을 찾고 싶지만, (문제가 있다고 언급된 일부 서버는) 복구가 어려운 것으로 판단 된다"며 "다시 한번 에레버스(Erebus) 랜섬웨어 공격으로 인해 피해를 보신 고객님들께 진심으로 사과 말씀 드리며 복구할 수 있다면 최선을 다할 것"이라고 말했다.