Smart Life

나도 '인터넷나야나' 랜섬웨어 감염의 간접 피해자

하나모자란천사 2017. 6. 16. 11:39

랜섬웨어의 피해가 생각보다 심각하네요. 평범한 대한민국의 국민인 나 조차도 이번 웹 호스팅 업체인 인터넷나야나의 랜섬웨어 피해로부터 간접적인 피해를 입을 줄이야 누가 알았겠습니까? 어제 구글에서 검색을 하는데 페이지가 열리지를 않네요. 그냥 넘어갈 수 있었는데 검색된 페이지 몇 개가 같은 증상을 보였습니다. 그래서 좀 저 자세히 살펴보았더니 해당 사이트가 모두 웹 호스팅 업체 나야나를 통해서 웹 서비스를 제공하고 있었던 모양입니다. 졸지에 그 사이트에서 정보를 얻어야 하는 나도 정보를 얻을 수 없는 간접 피해자가 되었습니다. 아래 그림에서와 같이 해당 페이지가 nayana.kr을 통해서 서비스되었다는 것을 알 수 있습니다. 궁금해서 이번 사태에 대해서 내용을 파악해 보았습니다.



생각했던 것보다 나야나를 통해서 웹서비스를 제공받은 곳이 많은 것 같네요. 그래서 '인터넷나야나'라는 호스팅 업체에 대해서 궁금해졌습니다. 회사에 대해 알아보니 이 회사가 설립한 2000년대 초반에 무료 계정으로 개인 홈페이지를 제공하는 서비스를 하면서 좀 알려진 것 같습니다. 아래 그림의 개인 홈페이지도 인터넷나야나를 통해서 개인 홈페이지를 노출하고 있었던 것으로 예상합니다.



나무 위키를 통해서 '인터넷나야나 랜섬웨어 감염 사태'를 검색해 보았습니다.


 인터넷나야나 어떤 업체인가?


인터넷나야나는 2001년 5월 11일 설립된 업체로서 웹 호스팅, 도메인, 홈페이지 제작 등을 주 사업 분야로 삼는다. 본사는 가산디지털단지 내 서울특별시 금천구 디지털로 9길 99(가산동 60-11번지) 스타밸리타워 11층 1107호에 입주해있다.


2017년 기준으로 16년의 역사를 지닌, 업계에서는 중견에 속하는 업체이다. 그만큼 지명도도 상당한 편으로서 나야나의 호스팅을 이용하는 고객 사이트는 1만여 개에 이른다. 또한 무료 계정 서비스도 제공하였으므로 블로그 시대 이전인 2000년대 초반 당시 무료 계정으로 개인 홈페이지를 만들 때 나야나를 선택하는 경우가 많았기에 개인 사용자들에게도 이름이 알려진 편이었다.


 랜섬웨어 감염 사건 개요


2017년 6월 10일, 웹 호스팅 업체인 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레버스(Erebus)에 일제히 감염된 사건이다.


대한민국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다. 다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 피해가 더욱 커졌다.


에레버스를 분석한 결과, 중국어 기반에서 작성된 웹 소스를 발견할 수 있었다.


 해커의 요구사항


My boss tell me, your buy many machine, give you good price 

550 BTC 

If you do not have enough money, you need make a loan 


You company have 40+ employees, 

every employees's annual salary $30,000 

all employees 30,000*40 = $1,200,000 

all server 550 BTC = $1,620,000 


If you can't pay that, you should go bankrupt. 

But you need to face your child's, wife, customers and employees. 

Also your will lost your reputation, business. 

You will get many more lawsuits.


우리 보스가 말하길, 너네 기계도 많이 산다며

비트코인 550개면 합당한 가격 아니야?

돈이 없으면 대출이라도 받아.


너네 회사 직원 40명 넘어.

평균 연봉도 다 3만 달러는 되네.

3만 달러 * 40명 = 120만 달러

서버값 = 비트코인 550개 = 162만 달러


돈 못 내겠으면 파산하든가.

근데 너희 애들, 와이프, 고객들, 직원들 얼굴 볼 수 있겠니?

넌 평판과 명성을 모두 다 잃고

수많은 소송에 시달리게 될 거다.


이 정도면 웹 호스팅 업체로는 작은 규모도 아니네요. 그리고, 이 회사가 백업 서버를 운영하지 않은 것은 아니라고 하네요. 문제는 운영 서버와 백업 서버를 동일 사이트에 동일 네트워크 상에서 운영을 해서 운영 서버와 백업 서버가 모두 랜섬웨어에 간염이 되어서 속수무책으로 해커들의 요구를 수용할 수밖에 없는 상황이라고 합니다. 어떻게 1만 개의 웹 사이트를 운영하는 회사에서 이렇게 부실하게 관리를 했는지 이해할 수 없는 상황입니다.


이침에 일어나서 언론을 통해서 관련 뉴스를 검색해 보았습니다. 결국 업체는 해커의 요구를 수용하고 자금을 확보하면서 비트코인을 지급하고 있다고 합니다. 우선 대표가 확보할 수 있는 현금 4억 만큼 비트코인을 지급했고 나머지는 자금을 확보하는 대로 지급하는 것으로 진행되고 있다고 합니다.




초기 해커가 요구했던 40억 수준이 아닌 13억 수준에서 협상을 타결했다고 하는데 과연 믿을 수 있을까요? 문제는 이전 포스팅에서도 언급을 했지만 지금부터 시작이라는 것입니다. 이를 계기로 대한민국은 전 세계 해커들에게 호구가 되었습니다. 그리고 대표적인 호스팅 업체가 이렇게 속수무책으로 당하고 있는데 다른 업체들은 말해 뭐합니까? 


사건이 커지면서 화살이 주무부처인 미래창조과학부와 KISA로 향할 수밖에 없어 보이네요. 뉴스 보도 내용 중 업체 대표의 인터뷰를 보니 사장은 불쌍한 피해자로 잘 포장이 되었네요. 근본적으로 이해할 수 없는 수준에서 관리를 했고, 또 사건을 숨기려다가 피해가 증폭된 부분에 대한 언급은 없네요.



일반적인 인질 사건에 대해서도 거액을 지급하는 것에 대해서는 논란이 됩니다. 인질 사건이 발생하면 여론의 집중 조명을 받게 되고 그런 사건을 통해 거액의 합의금이 지급이 될 경우 향후 모방 범죄가 증가하기 때문이죠. 랜섬웨어 사태도 마찬가지입니다. 이번 '인터넷나야나' 사건에서 속수무책으로 당하는 기업과 대한민국 정부라는 이미지가 전 세계 해커들에게 대한민국은 최고의 먹잇감이라는 것을 알리는 계기가 되었습니다.



SNS에서도 본 사건에 대해서 말들이 많네요. 대부분은 같은 생각을 하고 있네요. 더구나 중국으로 의심되는 해커인데...



해커에게 돈을 지급하고 일단 서버는 복구가 된 모양이네요. 협상된 잔금을 지급하면 데이터도 복구가 되겠죠? 문제는 해커들이 그 약속을 지킬 것인가 하는 문제입니다.



처음부터 사태를 숨기려 하지 않고 정부와 공조하면서 대응을 했더라면 좋았을 것인데 과실 여부를 떠나서 이런 공격을 당하면 기업 수준에서만 대응하는 것도 무리는 있다고 생각합니다. 또한 이런 사회적 이슈는 향후 피해의 확산 방지를 위해서라도 KISA나 주무부처에서 관심을 가지고 공동 대응을 했더라면 하는 생각을 합니다.



임시로 서버는 복구가 되어 서비스가 돌고 있네요. 사이트를 보다가 발견한 내용입니다. 위 업체가 2013년도 KISA(한국인터넷진흥원) 평가에서 고객만족도 우수업체로 지정이 되었네요. 이번 기회에 KISA의 평가 기준도 좀 손을 봐야 할 것 같네요. 이런 사태가 일어나면 기존의 모든 평가는 의미가 없네요. 향후 평가 기준에는 눈에 보이는 서비스 품질만 평가 할 것이라 아니라 위기 대응 능력이나 업무의 연속성 및 재해 복구(BC/DR)도 평가 대상에 포함시켜서 평가하기를 바랍니다.



이상으로 '인터넷나야나' 랜섬웨어 사태에 대해서 살펴보았습니다. 중요한 것은 소 잃고 외양간을 고치는 일이 없도록 사전에 대응을 하는 것이 최선이라는 것입니다. 기업의 입장에서는 수익성만을 따지지 말고 예기치 않은 사태에 대한 준비를 해야 한다는 가르침을 얻고, 정부에서는 좀 더 신뢰성 있는 평가와 감찰을 통해서 제 2, 3의 '인터넷나야나' 사태가 발생되지 않도록 중점적인 관리가 필요해 보입니다.