중간조사 결과 발표…"업체 관리자용 PC 보안관리 소홀 드러나"
백업 보안 가이드 제정키로 

(서울=연합뉴스) 고현실 기자 = 미래창조과학부는 웹호스팅 업체 인터넷나야나의 해킹피해가 중소 인터넷기업을 노린 지능형 지속위협(APT·특정 대상을 다양한 해킹기법으로 지속 공격하는 방식) 공격과 랜섬웨어가 결합한 사고라고 밝혔다.

아울러 재발 방지를 위해 다음 달부터 호스팅 업체를 대상으로 긴급 실태 및 현황 조사를 벌여 취약점을 점검하고 지원하기로 했다.

미래부는 이날 정부과천청사에서 열린 제2차 랜섬웨어 대응 민·관 협의회에서 이런 내용의 인터넷나야나 랜섬웨어 사고의 중간 조사 결과를 발표하고, 재발 방지 대책 등을 논의했다.

미래부에 따르면 공격자들은 사전에 탈취한 계정정보를 활용해 인터넷나야나의 통신용 게이트웨이 서버(고객 서버 우회접속 경유지)와 호스팅 사업부의 웹서버를 해킹해 공격 거점을 마련한 뒤 고객 서버 153대에 랜섬웨어를 설치하고, 10일 오전 1시에 파일을 암호화했다.

인터넷나야나의 서버가 감염되면서 5천496개의 홈페이지가 장애를 빚었다.

해당 랜섬웨어는 작년 9월 발견된 윈도용 랜섬웨어 '에레버스(Erebus)'의 변종으로 리눅스 운영체제에서 실행된다.

조사 결과 인터넷나야나의 관리자용 PC에 보안 취약점이 확인됐다. 관리자용 단말은 보안을 위해 외부 접속을 차단해야 하지만, 이 회사의 관리자용 PC는 인터넷에 접속 가능한 상태였고, 아이디와 비밀번호만으로 서버 접근이 가능해 정보 탈취에 대한 대비가 부족했다.

미래부와 한국인터넷진흥원(KISA)은 피해 사실을 확인한 뒤 현장에 인력을 보내 기술 지원을 했다.

미래부는 유사 사고를 막기 위해 국내 기업에 네트워크 보안 모니터링 체계 구축, 관리용 단말 보안 강화, 백업 강화 등을 당부했다. 웹 호스팅 사업자에는 실태조사를 거쳐 백업 보안 가이드를 제정하고 보급할 계획이다.

아울러 암호 파일 복구 기술 연구와 종합 상담 등 피해 복구 방안을 구체화하고, 관련 대책을 시행하기로 했다.

미래부 송정수 정보보호정책관은 "랜섬웨어 피해를 막을 수 있도록 기본적인 보안 수칙 실천과 기업의 보안투자 확대를 위해 노력하겠다"고 말했다.

한편 인터넷나야나는 지난 26일 홈페이지에 올린 공지문에서 "현재 피해 서버 52대가 복구됐으며, 84대가 복구 중"이라고 밝혔다. 이어 "복구된 서버 가운데 일부 한글 파일은 인식이 안 되는 상태"라며 "복구 작업에 최선을 다하고는 있지만, 파일의 복구가 불가능한 경우가 있을 수도 있다"고 전했다.

향후 대책과 관련해서는 "서버 관리자가 접속할 때 OTP(일회용비밀번호생성기)를 적용할 예정이며 네트워크 단절 백업까지 진행하겠다"고 밝혔다.

인터넷나야나 해킹 과정 개요
인터넷나야나 해킹 과정 개요[미래창조과학부 제공]

okko@yna.co.kr

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>2017/06/28 10:00 송고

+ Recent posts