2024-03-19 19:20 (화)
랜섬웨어 공격자들, 이미 지난해부터 한국 호스팅 업체 공격해 돈 맛 봤다
상태바
랜섬웨어 공격자들, 이미 지난해부터 한국 호스팅 업체 공격해 돈 맛 봤다
  • 길민권 기자
  • 승인 2017.06.15 19:28
이 기사를 공유합니다

지난해부터 한국 호스팅 기업 공격하면 돈 준다는 것 학습을 통해 알게 돼

encryption-2.jpg
웹호스팅 업체 인터넷나야나(황칠홍 대표)가 에레버스(Erebus) 랜섬웨어 몸 값으로 13억원(397.6 비트코인)을 해커에게 지급하고 서버 153대에 대한 복호화키를 받기로 합의했다고 14일 공지했다. 한화 13억원은 랜섬웨어가 해커들의 주요 돈벌이 수단이 되면서 가장 큰 규모의 몸 값지불 금액을 기록하게 됐다.

에레버스 랜섬웨어 제작자가 중국이나 북한의 해커라는 추정도 나오고 있지만 아직 확실한 내용은 밝혀지지 않았고 이들이 어떻게 인터넷나야나 내부 리눅스 서버에 랜섬웨어를 유포했는지 명확한 침투경로도 나오지 않았다. 현재 한국인터넷진흥원에서 분석 중이며 곧 발표될 예정이다.

한편 이번 인터넷나야나 랜섬웨어 공격은 “한국 호스팅 업체를 공격하면 돈을 받을 수 있다는 학습이 된 결과”라는 분석이 나왔다.

최상명 하우리 센터장은 “지난해 말 이미 국내 모 호스팅 업체가 에레버스 랜섬웨어 공격을 받아 당시 2비트코인(당시 시세로 168만원)을 지불한 바 있다. 또 올해 1월 또 다른 호스팅 업체가 에레버스에 당해 60비트코인(당시 시세로 6천780만원)을 지불하고 복구한 것으로 조사됐다”고 말했다.

즉 에레버스 랜섬웨어 공격자들은 이미 학습을 통해 한국 호스팅 업체를 공격하면 어쩔 수 없이 돈을 지불할 수밖에 없다는 것을 확인한 것이다. 이런 몇 차례 학습을 통해 확신을 가진 공격자는 이번에 제대로 인터넷나야나를 공격해 13억원의 수익을 올린 것으로 파악된다.

이에 최 센터장은 “이번 인터넷나야나 사건을 계기로 한국 기업을 대상으로 한 랜섬웨어 공격이 더욱 거세질 것으로 예상된다. 돈을 받을 수 있다는 학습이 된 것”이라며 “다양한 예방책이 있지만 망분리 백업 체계를 마련하는 것이 무엇보다 중요하다. 또 이번 공격에서 리눅스용이 처음 확인됐기 때문에 리눅스 서버에 대한 보안 강화도 필요하다”고 강조했다.

인터넷나야나는 지난 10일 에레버스 랜섬웨어 공격을 받아 리눅스 서버 300여 대 가운데 153대가 감염돼 서버에 연결된 3천400여개 사이트 정보가 암호화되는 피해를 입었다.

업체 측은 15일 공지를 통해 “어젯밤부터 해커와 타협이 이뤄진 1차 복호화 키에 대한 비트코인(Bitcoin)을 송금했고 복호화 키를 받고 있다. 오늘중으로 회사를 담보로 관련 업계에서 도움을 주시면 비트코인을 매입해 2차 3차 협상 분을 송금할 예정이다. 회사의 경영권 인수의사를 밝혔던 업체에서 회생의 기회를 주기로 해 협상 비용만 차입하고 운영은 인터넷나야나의 임직원이 그대로 할 수 있게 됐다. 도움을 주신 업계 관계자분들께도 감사의 말씀 드린다. 또한 복호화 과정이 다소 더 걸릴 것으로 예상해 전체 복구까지는 최소 2주 정도의 시간이 더 필요할 것으로 예상한다”고 밝혔다.

한편 이 업체 황칠홍 대표는 14일 공지사항에 이번 랜섬웨어 공격자들에게 “나의 좌절은 지켜보더라도 나의 소중한 고객의 자료만은 복구 할 수 있게 도와줘라. 한화4억 원(123bit)를 주겠다. 만약 복구를 할 수 있게 된다면 나는 좌절하겠지만 나의 고객은 다른 좋은 회사에서 다시 일어설수 있을 것이다. 당신이 정말 해커라면 이 정도는 해줘야 한다고 생각한다. 나는 나의 모든 것을 잃는다 해도 제발 부탁한다. 나의 고객들을 살 수 있게 도와줘라”라는 글을 올려 현재의 침통한 심경을 전하기도 했다.

하지만 결국 공격자는 13억원을 받기로 합의한 후 복호화키를 주는 것으로 협상을 마무리지었다. 공격자들은 기업이 망하든 말든 일말의 동정심도 없다는 것을 이번 사건으로 보여줬다. 앞으로 얼마나 더 무서운 공격들이 이어질지 모를 일이다. 학습을 통해 돈 맛을 본 랜섬웨어 공격자들의 한국 기업을 대상으로 한 공격은 더욱 거세질 전망이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★