[뉴스토마토 박현준기자] 인터넷나야나의 랜섬웨어 감염으로 관리자 계정정보가 탈취된 것으로 나타났다. 5500여개(도메인 기준)의 홈페이지 서비스 장애가 이어졌다.
28일 미래창조과학부와 한국인터넷진흥원(KISA)의 인터넷나야나 랜섬웨어 침해사고 중간조사 결과, 153대의 호스팅서버 자료가 암호화되거나 백업자료가 삭제됐다. 인터넷나야나의 호스팅 서비스를 이용하는 5496개의 기관 홈페이지 서비스가 장애를 일으켰다.
지난 10일 호스팅업체 인터넷나야나는 랜섬웨어에 감염됐다. 이후 인터넷나야나는 해커에게 13억원 상당의 비트코인을 지불하고 복호키를 받아 복구작업을 진행 중이다.
인터넷나야나는 지능형 지속 위협(APT)과 랜섬웨어 공격을 함께 받은 것으로 조사됐다. 해커들은 사전에 탈취한 계정정보로 인터넷나야나의 통신용 게이트웨이 서버와 호스팅 사업부 웹서버를 해킹해 공격 거점을 마련했다. 또 통신용 게이트웨이 서버를 경유해 고객서버 153대에 랜섬웨어를 설치하고 백업자료를 삭제했다. 이후 해커들은 10일 오전 1시에 랜섬웨어를 실행했다. 랜섬웨어는 PC나 서버의 운영체제·파일 등을 암호화하는 악성코드다. 해커는 암호를 해제하는 키를 주는 조건으로 피해자에게 돈을 요구한다.
미래부는 인터넷나야나에 관리용 단말 보안, 서버 접근 통제, 백업 정책 등 보안강화 조치를 요청했다. KISA는 인터넷나야나에 인력을 파견해 추가적인 랜섬웨어 감염을 차단하기 위해 기술지원을 진행 중이다.
미래부와 KISA는 이날 오전 정부과천청사에서 제2차 랜섬웨어 대응 민관 협의회를 열었다. 송정수 미래부 정보보호정책관은 "사이버보안은 기업의 존폐를 결정하는 핵심 변수로 선택이 아닌 필수사항"이라며 "랜섬웨어 피해를 막을 수 있도록 기본적인 보안수칙 실천과 기업의 보안투자 확대를 위해 노력할 것"이라고 말했다.
.jpg "한국인터넷진흥원 인터넷침해대응센터에서 관계자들이 랜섬웨어 피해상황을 점검하고 있다. 사진/뉴시스")
한국인터넷진흥원 인터넷침해대응센터에서 관계자들이 랜섬웨어 피해상황을 점검하고 있다. 사진/뉴시스
박현준 기자 pama8@etomato.com