[아이뉴스24 성지은기자] 중요 파일을 암호화하고 암호해제를 대가로 금전을 요구하는 '랜섬웨어' 공포가 계속되고 있다.
코리아IDC의 서버호스팅과 코로케이션 일부 서버가 랜섬웨어에 감염되면서 이같은 랜섬웨어 공포가 확산될 조짐이다.
7일 코리아IDC는 지난 6일 새벽 3시경 서버호스팅과 코로케이션 일부 서버가 랜섬웨어에 감염됐다고 밝혔다.
코리아IDC는 인터넷나야나의 인터넷데이터센터(IDC) 사업부에서 운영하는 곳이다.
서버호스팅은 서버를 보유하지 않는 고객에 서버를 판매 또는 임대하고 이를 이용해 인터넷 서비스를 할 수 있도록 회선과 상면을 제공하는 서비스다. 또 코로케이션은 고객 소유 서버와 네트워크 장비를 IDC를 이용해 인터넷에 접속할 수 있도록 회선과 상면을 제공한다. 계약상 서버 관리 책임은 두 서비스 모두 고객사에 있다.
코리아IDC는 랜섬웨어 감염 피해를 발견한 당일 오전 한국인터넷진흥원(KISA)에 신고했다. KISA와 관계 당국은 현장에 출동, 피해 규모를 파악하고 감염 로그 등 증거 자료를 수집하고 있다.
KISA 관계자는 "해당 랜섬웨어는 리눅스 계열로, 파일 확장자를 '.enc'로 바꾼다"며 "지난 6월 인터넷나야나가 감염됐던 에러버스(Erebus) 랜섬웨어는 다른 것으로 판단되고 현재 백신사들과 협업해 랜섬웨어 종류를 파악하고 있다"고 말했다.
이어 "(이번 랜섬웨어는) 해커의 이메일 주소만 있을 뿐 비트코인을 요구하거나 협박 메시지가 없는 특징을 지녔다"며 "파일 암호화 후 자기 흔적을 지우기 위해 악성코드 파일을 삭제하는 모습을 보여서 현재 하드디스크를 가져와 포렌식을 진행 중"이라고 설명했다.
또 "코로케이션 등으로 관리 권한을 소유자에게 넘겨 준 경우 랜섬웨어 감염 사실을 일일이 문의해 파악할 수밖에 없는 상황"이라며 "정확한 피해 규모를 조사하고 있다"고 말했다.
코리아IDC 측은 홈페이지 공지를 통해 "현재까지 확인된 부분은 SSH 접속을 시도했고 SSH 접속이 인가된 IP가 아닌 ANY(어디서든지 접속 가능)에서 접속된 부분"이라며 "SSH 접근을 ANY가 아닌 인가된 IP에서만 접근 가능하도록 보안 조치를 진행하길 바란다"고 당부했다.
SSH는 인터넷 환경에서 원격으로 서버에 로그인하기 위해 사용된다. SSH를 이용한 원격 접속에 대해 사전에 인가된 IP주소가 아닌 어떤 IP 주소든 접속을 허용하면서 서버가 공격에 노출된 것으로 추정된다. 다만 정확한 감염 경로는 관계 당국의 조사가 나와야 알 수 있다.
한편, 이번 랜섬웨어 감염으로 백업을 별도 구축하지 않은 피해 고객은 향후 서비스 운영에 차질을 빚을 것으로 보인다.
일반 서버호스팅의 경우, 별도 백업 서비스를 이용하지 않으면 코리아IDC에서 백업 자료를 관리하지 않아 복원이 진행되지 않는다. 자체 보유한 백업본을 이용해 복구해야 한다는 게 코리아IDC 측 설명이다.
현재 서버 자체에서 운영되는 로컬 백업 파일 역시 감염된 상태다. 외부 백업 파일이 없는 피해 고객은 해커에게 몸값을 지불하거나 파일을 포기할 수밖에 없을 것으로 예상된다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기