12일 미래창조과학부는 긴급브리핑을 열고 인터넷나야나의 랜섬웨어 피해를 설명했다. 송정수 미래부 정보보호정책관은 “사이버 모니터링을 24시간 수행하던 중 일부 홈페이지가 랜섬웨어에 감염된 사실을 지난 10일 오전 10시에 확인, 해당 홈페이지 관리 호스팅업체인 인터넷나야나를 확인했다”면서 “사고접수는 이날 10시 48분에 이뤄졌다”고 설명했다.
이후 사고조사와 관련, 침해사고 원인분석을 위해 인터넷진흥원(KISA) 사고조사팀이 긴급출동하고 현재 경찰청과 공동으로 사고조사를 진행 중이다.
인터넷나야나는 지난 10일 오전1시30분경 랜섬웨어 공격을 최초 확인했다. 인터넷나야나 서비스를 이용하는 업체는 국내 기업, 대학, 단체 등 1만여개이며 업체 측은 절반 이상이 랜섬웨어 공격을 받은 것으로 추정하고 있다. 현재 랜섬웨어에 감염된 홈페이지는 장애를 겪고 있다. 에러보스(Erebus) 랜섬웨어에 해킹됐으며 대상은 리눅스 서버, 감염대수는 153대이다.
인터넷나야나에 따르면 해커의 최초 요구사항은 각 리눅스 서버당 10비트코인(한화 3271만원)였으며 현재 최종 요구사항은 오는 14일 23시59분까지 각 리눅스 서버당 5.4비트코인(한화 1755만원)이다.
현재 자체 백업파일을 보유한 업체 중심으로 복구를 진행 중이며 일부 업체가 복구됐다. 하지만 일부 업체들은 완전한 복구가 어려울 것으로 보인다.
인터넷나야나 측은 “랜섬웨어에 감염된 파일의 백업된 자료로 복구를 하려고 했으나 원본 파일을 포함한 내부 백업 및 외부 백업 모두 랜섬웨어에 감염돼 암호화됐다”면서 “인터넷진흥원 조사와 사이버수사대 수사가 진행 중이어서 당장 복구가 어려운 상황이지만 방안을 찾아보고 있다”고 설명했다.
송 정책관은 “인터넷나야나가 갖고 있는 자료 백업서버가 해킹됐으므로 원칙적으로 이용기관이 백업자료를 보유하도록 계약상 돼 있다”면서 “업체를 일일이 확인 중이며 대부분 중소기업이나 협단체이며 개인도 있다”고 설명했다.
이어 송 정책관은 “이번 랜섬웨어는 지난달 전 세계 불특정 다수를 감염시켰던 ‘워너크라이’ 랜섬웨어와는 달리 특정타깃을 정해서 코드를 심는 방식으로 진행된 것으로 추정된다”면서 “유사 피해가 있는지 주요 호스팅업체에 확인해본 결과 추가 사고 사례는 확인되지 않았다”고 말했다.
|