'워너크라이' 사태 이후 한 달도 지나지 않아 대규모 사이버 공격이 강행됐다. 랜섬웨어 공격을 막는 가장 좋은 방법은 평소에 데이터를 오프라인에 백업하는 것이다.
지난 2001년 5월 설립된 ‘인터넷나야나’는 웹사이트와 서버를 대신 관리하는 웹호스팅 업체이다. '인터넷나야나'는 주로 국내 인터넷 쇼핑몰과 중소 업체의 웹호스팅을 담당해왔다. 지난 10일 오전 1시 30분경에 '인터넷나야나'는 랜섬웨어 공격에 당한 것으로 알려졌다.
이번 사태로 인해 ‘인터넷나야나’의 리눅스 서버 153대가 에레보스(Erebus) 랜섬웨어에 감염된 것으로 알려졌다. 에레보스 랜섬웨어는 지난 2월 국내에서 처음 발견됐다. ‘인터넷나야나’에 웹호스팅을 의뢰한 업체 중 피해를 입은 곳은 5,000여 개. ‘인터넷나야나’는 “랜섬웨어 공격 확인 이후 백업된 자료로 복구하려고 했으나 원본 파일을 포함한 내부 백업 및 외부 백업 모두 랜섬웨어에 감염돼 모두 암호화되었다는 사실을 확인했다"고 설명했다.
'인터넷나야나' 측은 "회사가 관리하는 웹 호스팅, 서버 호스팅, 도메인, 위탁관리 및 인계가 가능한 업체를 논의하는 등 고객님들의 이익을 보호하기 위해서 저희가 할 수 있는 최선을 다하고 있다. 하지만 내부와 외부 데이터가 모두 공격당했기 때문에, 개별 업체가 보유하고 있는 원본 데이터 제공을 하는 경우에만 홈페이지 복원을 지원하겠다"고 밝혔다.
한 IT 업계 전문가는 ”이번 사태에서 이처럼 랜섬웨어 공격 한 번에 원본 데이터와 백업 데이터가 한 번에 당한 것은 윈도우 파일공유 시스템인 삼바(Samba) 방식을 택했기 때문이다“고 지적했다. 윈도우 파일공유 시스템인 Samba는 컴퓨터 간 파일을 공유할 수 있도록 하는 네트워크 프로토콜을 리눅스로 구현한 오픈소스 소프트웨어이다.
Samba를 사용하면 내부 네트워크를 통해 파일이나 데이터를 공유할 수 있다. Samba는 사용이나 접근이 쉬워 윈도우와 리눅스가 혼용되는 웹호스팅 환경에서 빈번하게 사용된다. Samba는 지난 5월 워너크라이 사태를 일으킨 것과 동일하게 원격 코드 실행에서 취약점이 발견됐다.
워너크라이는 윈도우 상의 원격 코드 실행 취약점을 악용해 대규모 사이버 공격을 시도했다. 에레보스 역시 Samba의 취약점을 이용한 것으로 보인다. 해커들은 Samba를 통해 네트워크 시스템에 접근해 데이터를 마음대로 조작한 것으로 추정된다.
일반적으로 웹호스팅 업체 같은 인터넷데이터센터(IDC) 센터는 네트워크를 통해 서로 다른 서버에 데이터를 보관하는 경우가 많다. 에레보스 랜섬웨어는 Samba의 허점을 이용해 동시에 서버 데이터 백업을 무기력하게 만든 것으로 보인다.
이러한 랜섬웨어의 특징 때문에 IT 전문가는 “만약 업체가 Samba가 아닌 다른 방법으로 데이터를 백업했다면 백업용 서버에 접근하기 위해서 다른 방식이 필요해서 백업 데이터를 지킬 수도 있었다”고 안타까움을 나타냈다.
이번 에레보스 랜섬웨어 공격은 네트워크 상의 백업도 안전을 보장하지 못한다는 경고로 볼 수 있다. 결국 랜섬웨어 방어책으로 가장 확실한 건 네트워크가 아닌 오프라인으로 별도로 데이터를 백업하는 것이다. 무차별 사이버 공격을 막기 위해서는 수시로 외장 HDD 같은 오프라인 저장소에 데이터를 백업하는 습관이 필수적이다. /mcadoo@osen.co.kr
[사진] 위 랜섬웨어 공격을 당한 심상정 의원 홈페이지 캡처. 나머지는 '인터넷나야나' 홈페이지 캡처.