인터넷나야나, "3차 협상 준비 중…OTP·리눅스 도입 검토"

"선택할 수 있는 방법은 단 하나밖에 없었습니다. 해커와의 협상입니다."

인터넷나야나 에레버스(Erebus) 랜섬웨어 감염 사건

웹호스팅 업체 인터넷나야나는 6월10일 새벽 1시쯤 해커의 공격을 받았다. 이 일로 리눅스 서버 153대가 에레버스(Erebus) 랜섬웨어에 감염돼 고객사 홈페이지 3400여개가 마비됐다. 인터넷나야나는 자체적 복구를 시도했지만 실패했다. 결국, 6월14일 약 13억원에 해당하는 비트코인을 지급하고 서버를 복구하기 위한 복호화 키값을 받기로 해커와 협상했다. 13억원은 협상 비용 약 12억원과 피해 고객이 개별적으로 해커와 협상을 진행한 후 청구하겠다고 연락이 온 1억원을 합친 액수다. 협상 후 복호화 작업이 진행 중이며, 한국인터넷진흥원(KISA)과 경찰청 사이버수사대는 이 사건에 대해 조사 및 수사를 벌이고 있다.

해커와의 협상은 익명성 보호에 강한 브라우저 '토르(Tor)'의 게시판을 통해 이뤄지고 있다. 6월20일 기준으로 2차 협상까지 완료돼 서버 24대 복구를 마친 상태다. 인터넷나야나는 토르 게시판에서 해커에게 답변을 받는 대로 마지막 협상인 3차 협상을 진행할 것이라고 설명했다.

• 인터넷나야나 서버 복구 상황

복구 완료 시기는 불투명하다. 황칠홍 대표는 "정당한 주체와 협상을 하는 게 아니다 보니까 섣불리 시점을 예측해 말하기 어렵다"라며 "만약 어느 시점을 말했다가 그때까지 복구가 완료되지 않으면 또 한 번 희망을 품은 분들의 약속을 지키지 못하는 상황이 발생한다"라고 말했다.

[caption id="attachment_283129" align="aligncenter" width="559"]

왜 인터넷나야나가 타깃이 됐나

황칠홍 대표는 "하겠다고 한 백업 정책 중 하지 않은 것은 없다"라며 "그나마 백업 면에서는 다른 데 보다 잘했다고 생각했는데, 이번에 이것이 잘못된 생각이란 걸 깨닫게 됐다"라고 말했다. 이어 "우리만큼 규모 있는 호스팅 사업자가 그렇게 많지는 않다. 호스팅 사업자 중 규모 면에서 상위 10개 업체에 들어가 있어 (해킹의) 타깃이 되지 않았나 생각한다"라고 추측했다.

결국 인터넷나야나가 해킹에 속수무책으로 당한 이번 사태는 호스팅 업계 전반에 보안 및 백업의 중요성을 일깨운다. 이번 일로 몸값을 받을 수 있다는 것을 배운 해커들이 언제든 삼중 백업 장치를 뚫고 데이터를 암호화할 수 있다. 일각에서는 '판도라의 상자가 열렸다'라는 우려의 목소리가 나오고 있다.

필요한 재발 방지 대책은

황칠홍 대표는 "랜섬웨어 감염 경로에 대해서는 심증만 있을 뿐 아직 실제로 어떻게 된 것인지 나온 건 없다"라며 "일단 복구가 우선이므로 다른 작업을 할 여력이 많지는 않은데 일단 예상되는 감염 경로에 따른 재발 방지법들을 다 알아보고, 이에 대한 재발 방지책도 구상 중"이라고 말했다.

김병철 대표는 인터넷나야나가 입은 해킹 공격의 모방 공격에 대비하기 위해 업무용 컴퓨터를 리눅스 운영체제로 바꾸고 일회용비밀번호(OTP)를 이용해야 한다고 제시했다. 김 대표에 따르면, 호스팅 업체의 근무자들이 업무 컴퓨터에 게임 등 다양한 프로그램을 다운로드 할 수 있고 이를 통해 보안 취약점이 발생할 가능성이 있다. 이를 막기 위해 업무용 컴퓨터의 운영체제를 프로그램 다운로드가 제한적인 리눅스로 교체하라는 것이다. 또 일회용 비밀번호 시스템인 OTP를 도입하면 번거롭지만 강력하게 서버를 보안할 수 있다고 조언했다. 이외에 홍석범 씨디네트웍스 이사는 망 분리와 사내 게이트웨이를 재발 방지 대책으로 제시하기도 했다.

황칠홍 대표는 "OTP와 사내 게이트웨이를 적용할 예정"이라고 말했다. 또 "지금까지는 사내 컴퓨터의 운영체제로 윈도우를 썼는데 개발자나 디자이너의 업무용 컴퓨터를 리눅스 쪽으로 바꿀까도 생각 중"이라고 덧붙였다.

이런 재발 방지 대책은 인터넷나야나에만 요구되는 것이 아니다. 국내의 호스팅 업체는 100여곳에 이른다. 대부분 인터넷나야나 수준의 백업 정책을 하고 있다. 이번 일로 보안에 대한 업계의 인식이 개선되는 것이 시급하다.