[아이뉴스24 성지은기자] "랜섬웨어에 감염되고 나서 어떤 피해 고객은 데이터가 복구 안 되면 죽겠다고 연락을 하기도 했습니다. 복호화(암호해제)를 위해 해커와 협상한 데 대해 안 좋은 선례를 남겼다는 데 동의합니다. 하지만 당사자라면 그런 선택을 하지 않을 건지 되묻고 싶습니다. 우선 복구에 최선을 다하겠습니다."
15일 서울 금천구 가산동 인터넷나야나 본사에서 만난 황칠홍 인터넷나야나 대표는 복호화를 위해 해커와 협상한 것과 관련 이같은 속사정을 밝혔다.
웹호스팅업체 인터넷나야나는 지난 10일 새벽 1시경 에레버스(Erebus) 랜섬웨어에 감염돼 회사 서버 300여 대 중 리눅스 서버 153대가 감염됐다. 이 서버와 연관된 홈페이지는 5천여개에 달하며 현재 피해 홈페이지는 3천400여개에 이르는 것으로 집계됐다.
랜섬웨어는 파일을 암호화하고 이를 복구하는 대가로 금전을 요구하는 악성코드다. 에레버스 랜섬웨어는 사용자 계정의 보안 기능을 우회하는 수법으로 서버에 침투한 뒤, 파일을 암호화한 다음 복호화를 대가로 비트코인을 요구했다.
이번 사이버 공격은 원본 파일 뿐만 아니라 내부 백업 및 외부 백업 파일까지 모두 감염돼 회사의 자체 복구가 불가능해졌다. 이에 회사는 자사의 서버 및 웹호스팅 서비스를 이용하는 고객의 피해를 줄이기 위해 최후의 보루로 해커와 협상에 나섰다.
그 결과 인터넷나야나는 지난 14일 해커와 협상을 타결, 397.6비트코인을 지불하고 복호화키를 지급받기로 했다. 14일 한화 환산 기준으로 12억7천여만원에 달하는 금액이다.
4억여원은 황칠홍 대표 개인이 융통한 금액이며, 나머지 8억7천여만원은 주변 웹호스팅 업체 및 협회 등을 통해 융통했다. 지분 등을 담보로 여러 업체로부터 자금을 빌렸다.
해커와는 3차례의 거래를 통해 복호화키를 받기로 한 상태. 지난 14일 1차로 130비트코인을 해커에게 송금, 50대 서버를 복호화할 수 있는 키를 받았다.
황칠홍 대표는 "가상화폐 거래는 일일 거래 금액이 한정돼있는데, 가상화폐 거래소 '코인원'을 통해 도움을 받았다"며 "코인원 측에서 수수료 없이 거래를 진행해줬고 덕분에 신속하게 가상화폐를 마련할 수 있었다"고 설명했다.
인터넷나야나는 오늘 안에 2, 3차 송금을 완료하고 나머지 서버에 대한 키를 해커로부터 받아 빠르게 데이터 복구에 착수한단 계획이다.
황칠홍 대표는 "암호화된 서버 복호화키만 넣는다고 데이터가 복구되는 게 아니다"며 "우선 새로운 서버를 구축해 랜섬웨어에 감염된 서버 파일을 전부 옮기고, 복호화키 값을 이용해 데이터를 복구한다"고 설명했다.
이어 "자료에 위험한 파일이 없는지에 대한 무결성을 검사한 뒤 다시 새로운 서버에 세팅하고 자료를 이전한 뒤 복구하는 작업을 거친다"며 "1대의 서버 복구에 최소 2일 정도가 소요될 것으로 예상하는데, 한국인터넷진흥원(KISA) 등 정부 당국에 데이터 복구에 필요한 장비와 기술 인력 지원을 부탁드린다"고 덧붙였다.
먼저 해커와 협상을 해 복호화를 진행해도 이후 2차 랜섬웨어에 감염될 확률이 높다. 해커가 보안 취약점 등을 이용해 또다시 공격을 가하기 때문. 이에 회사는 백업 정책을 재구축해 보안을 강화한단 목표다.
황 대표는 "지난 2001년 5월 10일 정식으로 법인을 설립했고, 개인적으로는 1997년경부터 사업을 시작해 웹호스팅 서비스 등을 제공했다"며 "회사를 믿고 맡겨준 고객을 위해, 관련 기업에 대한 1, 2차 피해를 막기 위해 협상을 할 수밖에 없었다"고 심경을 밝혔다.
이어 "인터넷나야나는 직원이 30명이 조금 안 되고 지난해 매출 규모는 33억원 정도이며 순이익 규모가 좋지 않아 사이버 공격으로부터 안전한 '클린존' 확보가 어렵다"며 "데이터 복구 후 혹시 모를 재감염에 대비해 안전한 클린존을 확보할 수 있도록 미래창조과학부에 지원을 요청드린다"고 말했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기