웹호스팅업체, 랜섬웨어 감염…일부 사이트 장애

웹호스팅업체 인터넷나야나가 서버 점검 중이다. 서비스에서 운영되는 다수 웹사이트가 랜섬웨어에 감염돼서다. 리눅스 운영체제(OS) 타깃 악성코드 공격에 당했다.

인터넷나야나는 지난 10일 긴급공지를 통해 "최근 일부 고객님의 데이터가 랜섬웨어에 감염된 사실을 확인"했다며 서버 점검에 들어갔다.

랜섬웨어 감염으로 인해 해당 웹호스팅 서비스를 이용하던 국내 기업, 대학, 단체 등의 홈페이지 일부가 장애를 겪고 있다. 대한에이즈예방협회, IPv6포럼코리아, 국립대 모 학과 홈페이지, 몇몇 중소기업, 숙박업체, 웹진 등이 피해를 입은 것으로 파악됐다.

[사진=Pixabay] 랜섬웨어. 악성코드. 맬웨어. 익스플로잇. 사이버공격.

이날 SBS뉴스는 인터넷나야나의 호스팅에 소속된 고객사는 1만여 개이며 업체 측은 이 가운데 절반 이상이 랜섬웨어 공격을 받은 것으로 추정하고 있다고 전했다. 피해 규모는 홈페이지 5천개, 서버 100대 정도로 추산됐다.

랜섬웨어에 감염된 홈페이지에 접속하면 영어로 된 공격자의 메시지가 표시된다. 메시지는 "당신의 문서, 사진, 데이터베이스, 중요 파일은 암호화됐다"면서 "파일의 암호화를 해제하고 싶다면 아래 웹사이트에 방문하라"고 안내한다.

공격자가 안내한 웹사이트는 암호화 파일 복구를 위해 특정 비트코인 주소로 송금을 하라는 요구하는 내용이다. 요구 액수는 일정 기간내 송금시 5.4비트코인(약 1천800만원), 그 이후 송금시는 10.8비트코인(약 3천500만원)이다.

2017년 6월 10일자 인터넷나야나 공지문.

소상공인이나 개인 독립 홈페이지 운영자가 지불하기엔 작지 않은 금액이다. 피해자가 이 지시를 따라 송금을 했을 때 복구가 된다는 보장도 없다. 대다수 피해자 입장에선 호스팅 제공업체 측의 보안 및 백업을 통해 복구가 이뤄지길 기대할 수밖에 없다.

하지만 인터넷나야나 측은 "피해 예방을 위해 한국인터넷진흥원과 관계당국에 신고해 긴밀하게 협조하고 있다"면서 "업무 협조로 인해 (랜섬웨어 감염으로 암호화된 자료는) 당장 복구가 어려우며 추후 조사 및 검토를 통해 공지를 다시 올리도록 하겠다"고 밝혔다.

회사는 또 "향후 이런 일이 발생하지 않도록 보안조치를 강화해 나가겠다"며 "고객님께서 별도 백업된 자료가 있는경우 고객센터를 통해 접수를 진행하는 경우 순차적으로 백업된 자료를 통해 복원해 드리겠다"고 덧붙였다.

인터넷나야나에서 사이트를 운영하다 이번 공격으로 피해를 입은 한 웹진 운영자는 트위터 메시지를 통해 이용자들에게 불편을 안긴 점을 사과하며 "문제 해결에 시간이 꽤 걸릴 것 같고 어느 정도 수준으로 복구가 될지도 명확하지 않다"고 언급했다.

랜섬웨어 피해를 입은 인터넷나야나 웹호스팅 이용 웹사이트 방문시 뜨는 화면.

공격에 쓰인 랜섬웨어는 에레부스(Erebus)다. 에레부스라는 이름은 지난해 9월 트렌드마이크로를 통해 악성 광고를 경유하는 악성코드로 탐지됐고, 지난 2월엔 윈도 PC를 감염시키는 변종 랜섬웨어로 소개되기도 했다.

그런데 인터넷나야나 호스팅 서비스를 감염시킨 랜섬웨어는 에레부스라는 이름을 내걸고 있지만, 기존과 달리 윈도가 아닌 리눅스 시스템을 감염시켰다. 아직 이 랜섬웨어와 관련된 세부 사항은 완전히 파악되지 않았다.

이번 리눅스 기반 에레부스 피해 사례는 리눅스 역시 날로 진화하는 랜섬웨어 공격의 안전지대가 아님을 상기시켜 준다. 리눅스는 크고 작은 웹서버 운영환경의 OS로 널리 쓰인다. 개인용 윈도 컴퓨터를 노린 공격보다 대규모 피해를 낳을 우려가 있다.

11일 한국인터넷진흥원 측은 인터넷나야나 사례가 국내서 리눅스 랜섬웨어에 당한 최초 웹서버 피해 사례인지 여부를 묻자 "확인 중"이라면서도 "감염 피해 사례가 대외적으로 잘 알려지지 않았을 뿐 리눅스 기반 랜섬웨어는 전부터 있었다"고 답했다.

실제로 리눅스 타깃 랜섬웨어 자체는 새로운 게 아니다. 지난 2015년 11월 발견된 '리눅스인코드1(Linux.Encode.1)'도 리눅스 웹서버를 노린 암호화 랜섬웨어였다. 다만 이번처럼 국내서 랜섬웨어에 리눅스 서버가 감염돼 여러 피해자가 발생한 전례는 드물다.