인터넷나야나, "3차 협상 준비 중…OTP·리눅스 도입 검토"

발행일 2017-06-21 18:16:12
"선택할 수 있는 방법은 단 하나밖에 없었습니다. 해커와의 협상입니다."

6월20일 인터넷나야나 사무실을 찾은 기자에게 황칠홍 대표가 말했다. 이날 그의 휴대폰은 쉴 새 없이 울렸다. 피해 고객의 항의·문의 전화와 언론사 기자들의 취재 전화로 보였다. 황칠홍 대표는 양해를 구하고 이 전화들에 일일이 답했다. 한동안 기다린 끝에야 황 대표와 마주할 수 있었다.

6월20일 인터넷나야나 사무실에서 황칠홍 대표이사를 만났다. 사진을 찍는 순간에도 그의 휴대전화가 끊임없이 울렸다.
▲6월20일 인터넷나야나 사무실에서 황칠홍 대표를 만났다. 사진을 찍는 순간에도 그의 휴대폰은 끊임없이 울렸다.

인터넷나야나 에레버스(Erebus) 랜섬웨어 감염 사건

웹호스팅 업체 인터넷나야나는 6월10일 새벽 1시쯤 해커의 공격을 받았다. 이 일로 리눅스 서버 153대가 에레버스(Erebus) 랜섬웨어에 감염돼 고객사 홈페이지 3400여개가 마비됐다. 인터넷나야나는 자체적 복구를 시도했지만 실패했다. 결국, 6월14일 약 13억원에 해당하는 비트코인을 지급하고 서버를 복구하기 위한 복호화 키값을 받기로 해커와 협상했다. 13억원은 협상 비용 약 12억원과 피해 고객이 개별적으로 해커와 협상을 진행한 후 청구하겠다고 연락이 온 1억원을 합친 액수다. 협상 후 복호화 작업이 진행 중이며, 한국인터넷진흥원(KISA)과 경찰청 사이버수사대는 이 사건에 대해 조사 및 수사를 벌이고 있다.

인터넷나야나가 해커와의 협상에 성공하자 그나마 출구를 찾았다는 안도와 함께 '해커에게 몸값을 주는 나쁜 선례를 만들었다'라는 비판의 목소리가 동시에 터져나왔다. 안칠홍 대표는 이 비판을 담담하게 수용했다. 그는 "수십만명의 피해를 외면할 수 없었고, 어떻게든 고객의 자료를 복구해야겠다는 생각뿐이었다"라고 해커와 협상에 나선 이유를 설명했다. 그는 "송금에 앞서 KISA와 경찰청 사이버 수사대 등에 질의서를 보내기도 했다"라고 덧붙였다. 한국호스팅도메인협회도 황칠홍 대표의 결정에 공감을 표했다. 현재 협회 일부 회원사는 인터넷나야나의 서버 복구에 인력과 장비를 보태고 있다.

해커와의 협상은 익명성 보호에 강한 브라우저 '토르(Tor)'의 게시판을 통해 이뤄지고 있다. 6월20일 기준으로 2차 협상까지 완료돼 서버 24대 복구를 마친 상태다. 인터넷나야나는 토르 게시판에서 해커에게 답변을 받는 대로 마지막 협상인 3차 협상을 진행할 것이라고 설명했다.

인터넷나야나 서버 복구 상황

복구 완료 시기는 불투명하다. 황칠홍 대표는 "정당한 주체와 협상을 하는 게 아니다 보니까 섣불리 시점을 예측해 말하기 어렵다"라며 "만약 어느 시점을 말했다가 그때까지 복구가 완료되지 않으면 또 한 번 희망을 품은 분들의 약속을 지키지 못하는 상황이 발생한다"라고 말했다.

[caption id="attachment_283129" align="aligncenter" width="559"]서버 복구를 진행하는 과정. ping [도메인URL]을 입력하여 IP를 확인하고 있다. ▲서버 복구를 진행하는 과정. 'ping [도메인 URL]'을 입력해 IP를 확인하고 있다. (출처=인터넷나야나)[/caption]

왜 인터넷나야나가 타깃이 됐나


인터넷나야나가 이번 공격의 타깃이 된 것은 인터넷나야나가 해킹을 당했을 때 피해를 복구하기 위한 백업에 유별나게 취약했기 때문이 아니다. 업계에 따르면 인터넷나야나의 백업 정책은 업계 평균이거나 혹은 그 이상 수준이다. 인터넷나야나는 ▲스탠바이 서버 운영 ▲별도 백업 스토리지 운영 ▲유료 솔루션을 이용한 실시간 CDP 이미지 백업 등 3중 백업 정책을 갖췄다. 김병철 스마일서브 대표는 "CDP 백업까지 하는 경우는 드물다"라고 말했다.

황칠홍 대표는 "하겠다고 한 백업 정책 중 하지 않은 것은 없다"라며 "그나마 백업 면에서는 다른 데 보다 잘했다고 생각했는데, 이번에 이것이 잘못된 생각이란 걸 깨닫게 됐다"라고 말했다. 이어 "우리만큼 규모 있는 호스팅 사업자가 그렇게 많지는 않다. 호스팅 사업자 중 규모 면에서 상위 10개 업체에 들어가 있어 (해킹의) 타깃이 되지 않았나 생각한다"라고 추측했다.

결국 인터넷나야나가 해킹에 속수무책으로 당한 이번 사태는 호스팅 업계 전반에 보안 및 백업의 중요성을 일깨운다. 이번 일로 몸값을 받을 수 있다는 것을 배운 해커들이 언제든 삼중 백업 장치를 뚫고 데이터를 암호화할 수 있다. 일각에서는 '판도라의 상자가 열렸다'라는 우려의 목소리가 나오고 있다.

필요한 재발 방지 대책은


인터넷나야나가 해킹 피해를 보자, 공격 경로에 대한 다양한 추측이 쏟아졌다. 김병철 스마일서브 대표는 ▲회사 내부자의 범죄 ▲내부자 컴퓨터의 악성 코드 감염과 그로 인한 2차 공격 ▲접속이 허용된 외부 컴퓨터의 악성 코드 감염과 그로 인한 2차 감염 등 3가지 공격 방법 중 하나가 성공했을 것이라고 주장했다.

황칠홍 대표는 "랜섬웨어 감염 경로에 대해서는 심증만 있을 뿐 아직 실제로 어떻게 된 것인지 나온 건 없다"라며 "일단 복구가 우선이므로 다른 작업을 할 여력이 많지는 않은데 일단 예상되는 감염 경로에 따른 재발 방지법들을 다 알아보고, 이에 대한 재발 방지책도 구상 중"이라고 말했다.

김병철 대표는 인터넷나야나가 입은 해킹 공격의 모방 공격에 대비하기 위해 업무용 컴퓨터를 리눅스 운영체제로 바꾸고 일회용비밀번호(OTP)를 이용해야 한다고 제시했다. 김 대표에 따르면, 호스팅 업체의 근무자들이 업무 컴퓨터에 게임 등 다양한 프로그램을 다운로드 할 수 있고 이를 통해 보안 취약점이 발생할 가능성이 있다. 이를 막기 위해 업무용 컴퓨터의 운영체제를 프로그램 다운로드가 제한적인 리눅스로 교체하라는 것이다. 또 일회용 비밀번호 시스템인 OTP를 도입하면 번거롭지만 강력하게 서버를 보안할 수 있다고 조언했다. 이외에 홍석범 씨디네트웍스 이사는 망 분리와 사내 게이트웨이를 재발 방지 대책으로 제시하기도 했다.

황칠홍 대표는 "OTP와 사내 게이트웨이를 적용할 예정"이라고 말했다. 또 "지금까지는 사내 컴퓨터의 운영체제로 윈도우를 썼는데 개발자나 디자이너의 업무용 컴퓨터를 리눅스 쪽으로 바꿀까도 생각 중"이라고 덧붙였다.

이런 재발 방지 대책은 인터넷나야나에만 요구되는 것이 아니다. 국내의 호스팅 업체는 100여곳에 이른다. 대부분 인터넷나야나 수준의 백업 정책을 하고 있다. 이번 일로 보안에 대한 업계의 인식이 개선되는 것이 시급하다.

함께 보면 좋은 뉴스

댓글

(0)
※ 댓글 작성시 상대방에 대한 배려와 책임을 담아 깨끗한 댓글 환경에 동참에 주세요. 0 / 300
뉴스레터
최신 IT 소식을 가장 빠르게 받아보세요.
(광고성 정보가 포함될 수 있습니다.)