"고객 피해 줄이기 위해 불가피" vs "공격 위협 키웠다"
랜섬웨어 공격을 받은 웹호스팅 업체 인터넷나야나가 해커와 13억원에 협상을 마치고 감염서버에 대한 피해복구 작업에 들어갔다.
그러나 이번 사태의 대응 방식을 두고 논란이 일고 있다.
업계 안팎에서는 인터넷나야냐의 협상이 고객사의 피해를 줄이기 위한 어쩔 수 없는 선택이었다는 의견과 함께 해커들에게 추가 공격의 빌미를 줬다는 비판이 맞선다.
보안업계는 해커의 요구를 들어줘도 100% 데이터 복구를 장담하기 어렵다며 2차 피해를 우려한다.
◇ 13억원 협상 타결후 복구 작업…최장 한달 걸릴 듯 15일 관련 업계에 따르면 인터넷나야나는 해커와 협상을 타결한 전날 밤부터 해커로부터 복호화 키를 받아 복구 작업을 진행하고 있다. 복호화 키가 감염서버마다 다르고, 감염서버가 153대인 점을 고려하면 인터넷나야나가 받아야 하는 복호화 키는 총 153개다.
황칠홍 대표는 이날 회사 홈페이지를 통해 "어젯밤부터 1차 복호화 키에 대한 비트코인을 송금해 키를 받고 있다"며 "오늘 중 비트코인을 (추가로) 매입해 2차, 3차 협상 분을 송금할 예정"이라고 밝혔다.
해커는 인터넷나야나가 비트코인(가상화폐)을 지불하면 임의의 서버를 골라 복호화 키를 넘겨주고 있다. 현재까지 인터넷나야나가 받은 복호화 키는 50여개다.
앞서 인터넷나야나는 지난 10일 에레버스(Erebus) 랜섬웨어의 공격을 받으면서 리눅스 서버 300여 대 가운데 153대가 감염되는 피해를 봤다. 서버가 감염되면서 서버와 연결된 웹사이트 3천400여개도 줄줄이 감염됐다.
이후 인터넷나야나는 해커와 협상을 벌여 전날 복호화 키를 받는 대가로 13억원을 주기로 합의했다.
협상 대금은 현금 자산 4억원과 다른 업체로부터 빌려 마련하기로 했다. 경영진은 애초 매각까지 고려했지만 인수 의사를 밝힌 기업이 회사 지분을 담보로 자금을 빌려주기로 하면서 경영권은 그대로 유지하게 됐다.
인터넷나야나는 현재 인력으로는 데이터가 복구되는 데까지 최소 2주, 길게는 한 달이 걸릴 것으로 예상했다.
인터넷나야나 관계자는 "일단 키를 넘겨받은 뒤 제대로 된 키인지 확인하는 작업을 거치고 있다"며 "확인이 끝난 키로 복구를 해보니 16시간 동안 10여개 웹사이트를 복구하는 데 그쳐 작업 시간이 길어질 전망"이라고 말했다.
인터넷나야나는 작업 속도를 높이기 위해 관련 부처에 인력과 장비를 요청한 상태다.
이 회사는 홈페이지를 통해 추후 사항을 공지할 예정이었지만, 기존 홈페이지가 트래픽 과부화로 접속이 불안정해지면서 현재는 임시 사이트를 열어 고객 문의에 대응하고 있다.
◇ 논란은 여전…보안업계 "해커만 재미, 2차 피해 우려" 인터넷나야나는 고객의 피해를 줄이기 위해 해커와 협상이 불가피한 선택이었다는 입장이다.
황 대표는 전날 홈페이지에 올린 입장 글에서 "국내외 여러 채널을 통해 복구 방법을 알아봤지만 찾지 못했다"며 "해커와 협상이 최선의 선택이라 생각했다"고 밝혔다.
회사 관계자는 "해커와 협상 전 한국인터넷진흥원과 미래부에 공문을 보내 정말 협상을 해야 하는지 물어봤지만, 진흥원에서는 '피해 기업의 상황을 고려하면 우리가 판단해주기 어렵다'는 답이 왔고, 경찰 측에서도 별다른 답이 없었다"며 "가이드라인이 없는 상태에서 고객 피해를 줄이기 위해 협상에 나설 수밖에 없었다"고 항변했다.
실제로 대부분의 랜섬웨어는 키 없이 데이터를 복구할 수 없도록 설계됐다. 과거 대부분의 피해 개인과 기업들도 복구 업체를 통해 해커에게 돈을 건네 데이터를 복구하는 경우가 많았다.
하지만 보안업계는 이번 사태가 랜섬웨어 대응에 안 좋은 선례를 남겼다고 지적한다. 랜섬웨어로 기업을 공격해 거액을 받아낼 수 있다는 점을 확인한 해커들이 유사한 방식의 공격을 되풀이할 가능성이 커졌기 때문이다.
해커들이 웹호스팅 업체를 처음부터 노렸을 가능성이 크다는 점도 우려를 키운다.
인터넷나야나를 공격한 해커들은 웹호스팅 업체가 주로 사용하는 무료 운영체제인 리눅스 서버에 에레버스 랜섬웨어를 유포했다.
에레버스는 애초 윈도 운영체제의 취약점을 이용한 랜섬웨어였지만, 이번 공격에서는 리눅스 서버를 노린 변종이 등장했다.
웹호스팅 업체의 경우 일단 랜섬웨어에 감염되면 고객사를 포함해 대규모 피해로 이어지지만 정작 보안은 취약해 해커들의 먹잇감이 된 것으로 보인다.
한 웹호스팅 업체 관계자는 "웹사이트와 서버 관리를 대행하는 웹호스팅 업체는 보안을 위해 일반 서버와 백업 서버를 분리해 운영해야 하지만 대부분의 업체가 영세하다 보니 망 분리가 제대로 이뤄지지 않는다"며 "해커들이 이러한 점을 노린 듯하다"고 말했다.
인터넷나야나도 일반 서버와 백업 서버의 망 분리가 제대로 이뤄지지 않았던 것으로 알려졌다.
회사 관계자는 "24시간 내내 운영되는 시스템이라 고객 요구에 대응하기 위해서는 네트워크를 완전히 끊기가 어렵다"고 털어놓았다.
보안업계는 랜섬웨어가 돈만 받고 복구는 해주지 않는 '먹튀'가 적지 않다는 점에서 2차 피해를 우려했다.
업계 관계자는 "해커의 목적은 결국 돈이기 때문에 데이터 복구 여부는 중요하지 않다"며 "해커에게 끌려다니다가는 복구 시간과 비용을 모두 놓쳐 피해를 키울 수 있다"고 말했다.