1. 개요[편집]
2017년 6월, 대한민국의 웹 호스팅 업체인 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레부스(Erebus)에 일제히 감염된 사건이다.
대한민국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다. 다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 큰 물의를 빚었다.
2. 인터넷나야나는 어떤 업체인가[편집]
인터넷나야나는 2001년 5월 11일 설립된 업체로서 웹 호스팅, 도메인, 홈페이지 제작 등을 주 사업 분야로 삼는다. 본사는 가산디지털단지 내 서울특별시 금천구 가산동 60-11번지 스타밸리타워 11층 1107호에 입주해있다.
2017년 기준으로 16년의 역사를 지닌, 업계에서는 중견에 속하는 업체이다. 그만큼 지명도도 상당한 편으로서 나야나의 호스팅을 이용하는 고객 사이트는 1만여 개에 이른다. 또한 무료 계정 서비스도 제공하였으므로 블로그 시대 이전 개인 홈페이지 열풍이 불던 2000년대 초반 당시 무료 계정으로 개인 홈페이지를 만든다고 하면 나야나를 선택하는 경우도 많았다.
3. 진행 과정[편집]
6월 10일 새벽, 나야나의 서버에 에레부스(Erebus) 랜섬웨어가 감염되었다. 에레부스는 윈도우를 타깃으로 한 랜섬웨어이나 나야나는 리눅스 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다.[1] 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다.
나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해주겠다는 입장을 밝혔다.[2]
호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다.[3] 이 중 SBS 8 뉴스의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.[4]
6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 비트코인(17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다.[5] 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것[6]을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다.
사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원 및 사이버수사대와 공조하겠으니 동요하지 말고 믿고 기다려달라는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다.[7] 게다가 이 공지가 올라온 후인 6월 12일에도 서버상에서 랜섬웨어에 의한 암호화가 계속 이루어지고 있다.[8]
4. 문제점[편집]
나야나 측은 이중백업을 통해 이용자들이 업로드한 데이터를 백업하였다고 밝혔으나 망 분리가 제대로 이루어지지 않아 내/외부 백업 데이터까지 랜섬웨어에 감염시키고 말았다. 실제로 나야나는 이미 '네트워크 백업을 통해 스토리지 백업서버에 백업을 진행'함을 밝힌 바 있다. 나야나는 또한 이전부터 계정 접속을 위한 비밀번호조차 암호화하지 않는 등 보안에 소홀한 행태를 보여왔다.
나야나를 비롯한 다수의 호스팅 업체가 채택한 '사단법인 한국인터넷호스팅협회'의 공동약관은 "고객은 자신이 운영 중인 서비스의 데이터 등에 대해 별도로 저장할 의무가 있으며 외부 침입 등으로 인한 정보의 유출, 누락 또는 자료의 손실에 대해 회사는 책임을 지지 않습니다."라고 명시하고 있다. 많은 호스팅 업체들이 외부 해킹, 랜섬웨어 감염으로 인한 피해에 대해 고객에게 책임을 떠넘기는 약관을 내세우고 있어 호스팅 업계 전반에 대한 신뢰도 하락이 우려된다.
5. 알려진 피해 웹사이트[편집]
인물
정의당 심상정 대표 (www.minsim.or.kr)
기관
한국에이즈퇴치협회 (www.aids.or.kr)
한국일어일문학회 (www.hanilhak.or.kr)
서울대 분자의학 및 바이오제약학과 (mmbs.snu.ac.kr)
비교민주주의연구센터 (www.ccds.or.kr)
대한약침학회 (www.isams.org)
Korea Journal (www.ekoreajournal.net)
한국청소년골프협회 (www.kyga.co.kr)
건국대 법학연구소 (ils.konkuk.ac.kr)
한국음운론학회 (www.phonology.or.kr)
상업
호텔아벤트리부산 (www.aventreehotelbusan.com)
고일 (www.koil.co.kr)
홍콩폰 (www.hkphone.net) - 복구됨
언론
에코저널 (www.ecojournal.com)
재림신문 (www.sdanews.org)
노동조합
유신코퍼레이션 노동조합 (www.yooshin.org)
개인
길호넷(칼무리) (www.kilho.net)
더 많은 목록 보기
피해 웹사이트가 5천여 개에 이르는 것으로 여겨지는 만큼 언론에 보도되지 않은 중소 쇼핑몰이나 기업 웹사이트의 자료/데이터베이스 유실, 신뢰도 저하 등의 피해를 합하면 천문학적일 것으로 추정된다. 특히 이들 웹사이트 중 상당수가 해당 기관/단체에서 직접 나야나에 입주한 것이 아니라 웹 에이전시에 사이트 제작과 관리를 위임한 것이기 때문에 2차 피해도 클 것으로 예상된다.
우습게도 유료 호스팅 서버는 모두 털렸으나 나야나에서 제공하던 무료 호스팅 서비스의 서버는 무사한 것으로 알려졌다.[9]
에레버스, 나야나, 나야나 랜섬웨어, 랜섬웨어, 랜섬웨어 해킹, 에레부스
'시스템 > Security' 카테고리의 다른 글
[spamsniper] 스팸 스나이퍼(spam sniper) 기동/종료 하는 방법 (0) | 2016.09.06 |
---|---|
[DDoS] SYN Flooding Attack 테스트(DDoS 테스트) (0) | 2016.09.02 |
[security] port scanning 방법 (0) | 2016.09.02 |