마지막 수정 날짜 : 2017년 6월 21일


인터넷나야나라는 웹 호스팅 전문 업체의 웹 서버와 백업 서버 총 300여 대 중 153대가 랜섬웨어에 감염된 심각한 사태가 발생했다.

이 랜섬웨어는 Erebus 라는 것으로 다음 화면과 같이 보이게 된다.

랜섬웨어 감염 서버 접속 시 화면 (HTTP)

랜섬웨어 감염 서버 접속 시 화면 (HTTP)

이 사건으로 인해 현재 해당 회사에서 호스팅 받고 있는 대부분의 웹 사이트가 위 화면처럼 index.html 파일이 모두 변조되고, 나머지 정상적인 파일들이 모두 암호화 되었다.

감염 된 이유

현재 추정되는 원인은 SMB1 관련 취약점으로 보고 있다. 5월 당시에 WannaCry (워너크라이) 라는 랜섬웨어가 들이닥쳤을 때(?) SMB 기능을 끄라는2 내용을 많이 봤을 것이다.

아마도, 백업을 위해 SMB 로 연결을 했을 것인데, 이 취약점을 이용하여 리눅스 실행파일을 주입한 뒤에 root 권한으로 실행을 시킨 것 같다.

여러가지 정황상 내부 인원일 수도 있다. 이번에 발견 된 파일은 리눅스 실행파일이기에 SAMBA 관련 취약점이 아니라고 한다.
나야나의 답변에서도 SAMBA 서버가 존재하지 않는다고3 한다.

내부 인원일 가능성이 제일 가능성이 높다고 생각한다. (물론 나의 생각)
취약한 시간 대(오전 1시), 내부 구조(백업 방식이나 기타 등등)를 정확하게 알고있는 사람은 직원이 아니고서야 짧게는 며칠, 길게는 몇 개월이 소요될 수 있기 때문에 사실상 이 정도 규모의 리눅스 서버를 감염시키기에는 외부 인원이라면 매우 힘들다.

외부 해커가 관련 업종에 대해 이미 파악을 완료 한 경우일 수도 있다. 물론 이 경우에는 이전부터 인터넷나야나를 타겟으로 잡고 모든 것을 파악하고, 접근 가능한 PC를 감염시킨 뒤에 공격을 시행 하는 방법 외에는 힘들겠지만.

현재 상황

(주)인터넷나야나 입니다.
현재 상황에 대한 상세공지 안내해 드립니다.

각 서버의 복구 진행 과정은 다음과 같습니다.

1. 비트코인 전송 후 복호화키 확인 작업
2. 복호화 작업
3. 복호화 데이터 무결성 검사
4. 복호화 데이터 백업 작업
5. 완료 데이터 최종 이전 작업

1차 복구 대상 50대 중 일부는 복호화에 실패하여 현재 재시도 중입니다.
1차 복구 대상 50대 중 10%는 서비스할 수 있도록 복구가 완료되었습니다.

2차 복구 대상은 금일(6/16) 서버 리스트 협상을 완료하였고,
비트코인을 전송하여 복호화 키값을 받아 확인 작업 준비 중입니다.

3차 복구 대상은 금일(6/16) 중으로 서버 리스트 협상을 준비하고 있습니다.
서버 리스트는 무작위로 받기 때문에 내일(6/17)까지 진행이 예상됩니다.
협상 후 1차, 2차 복구 대상과 마찬가지로 작업이 진행됩니다.

내일(6/17)까지는 모두 복호화 키값을 받아 순차적으로 작업이 진행될 예정입니다.

이후 목표 일정은 다음과 같습니다.

차주 – 전체 복구 대상의 30% 이상 정상화
차주 다음 주 – 전체 복구 대상의 90% 이상 정상화

계정별로 파일 크기, 파일 개수가 다르므로 정확한 복구 일정을 말씀드리기 어려운 점 양해 부탁드립니다.

차주까지 1차 복구 대상 50대의 서비스 가능함을 목표로 작업하도록 하겠습니다.

2차, 3차 복구 대상 또한 순차적으로 진행이 되기 때문에 이어서 서비스가 되도록 진행하겠습니다.

전 직원 모두 최선을 다해 최대한 빨리 모든 서비스가 정상화될 수 있도록 노력하겠습니다.

감사합니다.

– 인터넷나야나 공지사항 (8차) (2017/06/17 기준) 발췌

결국 약 12억원4 을 지불하여 복호화 키를 받았다고 한다.

부랴부랴 다른 기업들도 관련 문제에 대해 메일을 날리며 패치를 하려고 준비중이거나 이미 패치를 완료 한 상태인 것 같다. (실제 타 회사에서 나야나 랜섬웨어 사태가 터지고 나서 서버 점검 메일을 보냈다.)

— 2017/06/17 : 현재 서버의 일부가 복구가 되었다고 한다. 빠른 시일 내로 정상화가 되서 회사가 다시 성장하는 계기가 되었으면 좋겠다.

결론

나야나 랜섬웨어 사태를 보면 공격 한 번에 회사가 파산 될 수 있다는 것을 보았다.
결국 대표이사 자본으로 자료 복구를 위해 돈을 지불하였지만, 이런 사태가 다시는 일어나지 않도록 보안에 더 신경써야 한다.
– 고객의 자료를 날리고 도망가거나 할 수 있었어도 대표가 돈을 지불 한 것에 대해서는 비난보다는 응원을 보내는 게 좋지 않을까? (물론 공격을 당한 것이 좋은 것은 아니지만)

결국엔 백업과 보안 둘 다 중요하단 것이다. 돈을 많이 쓰고 귀찮더라도, 어느 정도 백업과 보안에 신경을 써야 차후에 이런 일이 생기더라도 피해 규모가 적어질 테니 말이다. – 모니터링도 매우 중요하다.

하지만 나는 보안에 신경쓰지 않을 것이다. 왜냐면 방문자가 1명이라서…(ㅠㅠ)

나는 나야나의 결정이 나쁘지만은 않다고 생각한다. 물론 대표와 직원의 전망은 매우 어두운 상태이긴 하지만… 고객을 위해서 어쩔 수 없는 선택을 한 것이기도 하고5

아무튼, 리눅스나 윈도우나 절대 안전하지 않으니 조심하도록 하자. 백업은 선택이 아니라 필수이다.


  1. Samba ↩
  2. 공격이 들어올 가능성이 있는 SMB 포트 (137-139, 445 포트)를 차단해야하는 방식이다. – 위키백과 내용 중 발췌 ↩
  3. 저희는 SAMBA 서버가 존재하지 않습니다.

    웹호스팅 : 리눅스 서버
    백업서버 : 리눅스 서버
    네트워크 백업 : 리눅스 서버 ↩

  4. 397.6BTC – 2017/06/15 기준 1,193,197,600원 ↩
  5. 애초에 단체로 고소미를 먹는 것보다는 더 싸게 먹히지 않을까 싶다. ↩