실시간 뉴스



웹호스팅만 노렸나…인터넷나야나, 동일범 가능성


국내 감염사례 모두 해외서 발견안된 리눅스 에레버스 '촉각'

[아이뉴스24 김국배기자] 웹호스팅 업체 인터넷나야나가 랜섬웨어 공격을 당한 지 열흘이 지났지만 아직까지 정확한 감염경로는 알려지지 않고 있다.

다만 보안업계에서는 동일한 해커가 인터넷나야나를 비롯해 보안이 취약한 웹호스팅 회사들만 골라 지속적인 공격을 감행해왔다는 분석을 내놓고 있다. 이른바 타깃형 공격인 지능형지속위협(APT)이 결합된 랜섬웨어 공격 방식이라는 해석이다.

19일 인터넷나야나는 해커와 협상으로 일부 복호화 키를 받아 서버 데이터 복구를 진행중이다. 이 회사는 최근 153대의 리눅스 서버가 '에레버스' 랜섬웨어에 감염돼 해커에게 13억 원을 지불키로 했다.

보안 업계에서는 이번 공격을 단일 사건으로 보기보다 이전 사건들과의 연관 가능성을 열어놓고 분석하고 있다.

실제로 에레버스 랜섬웨어에 당한 기업은 인터넷나야나가 처음은 아니다. 지난해 12월 다른 웹호스팅 업체인 와우코리아가 마찬가지로 같은 랜섬웨어 공격에 피해를 입은 것으로 파악됐다.

당시 한국인터넷진흥원(KISA)에 침해 신고가 이뤄지긴 했지만 기업이 원치 않아 침해 조사는 이뤄지지 않은 것으로 전해진다.

이후에도 몇몇 웹호스팅 업체들이 감염됐으며, 그중 한 곳은 30대의 서버가 감염돼 비트코인을 지불한 것으로 보안 업계는 파악하고 있다. 30대 서버가 피해를 본 회사는 당시 시세로 해커에게 7천만 원에 가까운 돈을 보낸 셈이다.

이 때문에 해커가 처음부터 웹호스팅 업체들만을 노렸고, 돈을 받을 수 있다는 검증을 끝낸 뒤 인터넷나야나를 공격한 것이 아니냐는 분석도 나온다.

더욱이 드물게 모두 리눅스 운영체제(OS)에서 동작하는 에레버스 랜섬웨어여서 동일범의 소행일 가능성도 제기된다. 윈도용 에레버스 랜섬웨어는 이미 존재했지만 리눅스 서버를 겨냥한 사례는 알려진 바 없다.

최상명 하우리 CERT실장은 "인터넷나야나 이전에 다른 호스팅 업체들의 감염 사례가 있었다"며 "해킹 기법은 나중에야 알려질테지만 연달아 당한 것을 보면 호스팅 서버가 지속적인 목표였던 것으로 보인다"고 말했다.

또 "윈도용 에레버스는 다른 나라에서도 보고됐지만 리눅스용은 사실상 국내에만 보고된 것으로 보인다"며 "단일 리눅스용 에레버스라서 서로 다른 점이 없고, 감염된 웹사이트에 따른 식별 키가 다른 것을 제외하곤 전부 다 동일하다"고 말했다.

익명을 요구한 다른 보안 전문가도 "동일범의 소행일 가능성을 높게 보고 있다"면서 "리눅스용 에레버스는 해외에서도 보고된 바가 없는 데다 복호화 툴을 이메일이 아닌 웹사이트를 통해 전달하는 방식 등 거의 모든 것이 비슷했다"고 설명했다.

경찰청과 KISA 측은 현재 조사중인 사안이라 말을 아끼고 있다.

KISA 관계자는 "기업 해킹에 의한 랜섬웨어 공격인 것은 맞다"면서 "APT 공격 여부는 조사가 끝나봐야 알 수 있을 것"이라고 말했다. 다만 "일각에서 떠도는 말처럼 삼바(Samba) 소프트웨어 취약점에 의한 것은 아니다"고 덧붙였다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 웹호스팅만 노렸나…인터넷나야나, 동일범 가능성

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스