미래창조과학부(이하 미래부)는 호스팅 업체 인터넷나야나 침해사고 중간조사 결과, 중소 인터넷기업을 대상으로 한 지능형지속위협(APT)과 에레버스(Erebus) 랜섬웨어 공격이 결합된 사고라고 28일 밝혔다.

해커는 사전에 탈취한 계정정보를 활용해 인터넷나야나의 통신용 게이트웨이 서버(고객서버 우회접속 경유지) 및 호스팅 사업부 웹서버(악성코드 유포지)를 해킹해 공격 거점을 마련했다. 최초 계정정보 유출 경위는 현재 조사 중이다.

이후 해커는 고객서버와 백업서버에 대한 우회로 원격 접근하기 위해 통신용 게이트웨이 서버를 경유, 호스팅 웹서버에 있는 랜섬웨어를 다운받아 고객서버 153대에 랜섬웨어를 설치했다. 동시에 자체 백업파일 2종과 백업서버 파일까지 복구 불가능한 수준으로 삭제했다.

해커는 지난 10일 오전 1시 153대 고객서버에 설치된 랜섬웨어가 동시 실행되도록 설정해 데이터베이스, 이미지, 프로그램 등 데이터를 모두 암호화시켰다.

이에 따라 웹호스팅 71대 3348개 홈페이지, 서버호스팅 82대 2148개 홈페이지 등 총 153대 서버 5496개(도메인 기준) 이용기관 홈페이지 서비스에 장애가 발생했다.

미래부 관계자는 “해커는 153대 서버에 대한 계정정보와 패스워드까지 모두 갖고 있었던 것으로 추정된다”며 “해커는 게이트웨이 서버에 백도어를 심어놓고 내부에 들어온 후 랜섬웨어를 받아 특정시간에 작동하도록 조치하면서 백업서버까지 완전 삭제시켰는데, 암호화 후 돈을 요구했기 때문에 랜섬웨어라고 부르지만 오랜 기간 침투해 정교하게 준비한 점을 미뤄봤을 때 APT 공격으로 봐야 한다”고 말했다.

이어 “단순한 랜섬웨어로 볼 수 없으며, 신중하게 침투해서 내부 상황을 모두 파악한 것으로 보인다”며 “최초 침투 및 계정정보 유출 경위는 좀 더 조사를 해야 하며, 인터넷나야나에서 해커에게 전달한 13억원의 경우 비트코인을 추적해야 하기 때문에 수사기관에서 국제공조를 통해 진행해야 할 부분”이라고 덧붙였다.

미래부는 사고원인으로 인터넷나야나의 기술적·관리점 취약점을 지적했다. 정보통신망법 제45조제2항 정보보호조치에 관한 지침에 따르면 관리용 단말 보안, 서버 접근 통제 등 기술적·관리적 취약점 존재한다는 설명이다.

관리용 단말 보안에서는 웹·백업서버 등 주요 서버에 접속할 수 있는 관리자PC가 인터넷에 접속 가능했다. 서버 접근 통제의 경우, ID·비밀번호만으로 서버 접근을 허용해 계정탈취에 대한 대비가 부족했다고 진단했다. 또, 백업정책 등 지능화되는 해킹공격에 대응할 수 있는 정책·체계에서도 허술했다고 평가했다.

미래부 관계자는 “게이트웨이 서버와 관리자PC가 위치한 사무실에서 서버에 접근이 가능한데 외부로부터 접속이 차단됐어야 했다”며 “ID와 패스워드만 알면 바로 서버에 접근할 수 있었고, 다른 인증수단은 마련돼 있지 않았다”고 설명했다.

다만, 미래부에 따르면 이러한 정보통신망법 보호조치 기준은 강제가 아닌 권고사항이며 개인정보유출과 관련이 없는 침해사고라 방송통신위원회 등 정부 차원에서의 인터넷나야나에 대한 처벌은 이뤄지지 않을 것으로 보인다.

해커에게 13억원에 달하는 비트코인을 전달, 자료를 복구하고 있는 인터넷나야나에 대해서는 관리용 단말보안, 서버 접근 통제, 백업 정책 등 침해사고 조사 과정에서 발견된 취약점을 개선·보완할 수 있도록 보안강화 조치를 요청했다. 자료 복구 완료 후에는 회사의 전반적인 보안취약점 점검을 지원할 예정이다.

미래부는 유사 사고의 재발방지를 위해 국내 기업들의 기본적인 보안관리 강화를 요청했다. 특히, 네트워크 보안 모니터링 체계 구축, 관리용 단말의 보안강화(전용단말, 일회용 패스워드 사용 등) 및 강화된 백업정책(높은 수준의 접근통제, 오프라인 백업 등)을 강조했다.

아울러, 미래부는 내달부터 150여곳의 호스팅 사업자에 대해 취약점 점검·지원을 실시하는 한편 예상하지 못한 기업의 랜섬웨어 사고에도 피해를 안전하게 복구할 수 있도록 백업보안 가이드를 제정·보급할 계획이다.

또한, 제품·서비스의 보안취약점에 대한 종합적 관리체계 구축, 민·관 공조·협력을 통한 신·변종 악성코드의 탐지·식별·분석·차단 시간 단축, 암호파일 복구기술 연구 및 종합 상담·지원체계 마련 등 피해복구 방안을 구체화해 관련 대책을 시행키로 했다.

송정수 미래부 정보보호정책관은 “사이버보안은 기업의 존폐를 결정하는 핵심 변수로 선택이 아닌 필수사항”이라며 “랜섬웨어로부터 국민·기업의 피해를 막을 수 있도록 기본적인 보안수칙 실천과 기업의 보안투자 확대를 위해 노력하겠다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr