웹호스팅 업체인 ‘인터넷나야나’ 서버 150여대가 랜섬웨어에 감염돼 이 서버에 연결된 웹사이트들이 연쇄 피해를 입었다.

12일 오전까지 확인된 피해규모만 3348개 홈페이지에 달하는 것으로 나타났다. 피해를 입은 곳 대부분은 중소기업와 민간 협·단체, 개인 홈페이지 운영자들로 추정된다. 인터넷나야나 서비스를 이용하는 업체는 1만여개에 달한다.

송정수 미래부 정보보호정책관은 12일 긴급 브리핑을 열고 “이번 랜섬웨어는 지난번 불특정 다수를 감염시킨 워너크라이 랜섬웨어와는 달리 특정 타깃을 정해 악성코드를 심은 방식인 것으로 추정하고 있다”라며 “현재 업체는 서버 복구를 진행 중이며, 미래부와 한국인터넷진흥원(KISA)은 상세 취약점을 확인해 필요한 지원조치를 할 것”이라고 말했다.

미래부에 따르면, 지난 10일 오전 KISA는 사이버 모니터링을 수행하던 중 일부 홈페이지가 랜섬웨어 감염 사실을 파악하고 해당 홈페이지 호스팅업체인 인터넷나야나에 알렸다. 이후 인터넷나야나는 10시48분에 사고를 접수했다. 오전 11시20분경에 침해사고 원인분석 등을 위해 KISA 사고조사팀이 현장에 출동했다. 현재 KISA와 경찰이 공동으로 사고조사를 실시하고 있다.

인터넷나야나측은 홈페이지 공지를 통해 “10일 1시30분경 랜섬웨어 공격을 최초 확인했고, 공격 발견 즉시 KISA와 사이버수사대에 신고 조치했다”면서 “‘에레버스(Erebus)’ 랜섬웨어에 해킹(감염)됐으며 감염대수는 리눅스 서버 153대”라고 밝혔다.

회사측은 “랜섬웨어에 감염된 파일을 확인 후 백업된 자료로 복구하려고 했으나 원본 파일을 포함한 내부 백업 및 외부 백업 모두 감염돼 모두 암호화됐다는 사실을 확인했다”라면서 “보유하고 있는 원본 데이터 제공시 복원을 지원하고 빠른 시간 내 복구할 수 있는 방안을 찾아보고 있다”라고 설명했다. 자체적으로 백업이 불가능한 상황이어서 고객이 원본 데이터를 제공해야 복구가 가능하다는 얘기다.

이 회사는 공통지원사항으로 안전한 3중 백업 등을 명시했지만 이용약관에는 데이터 별도 저장 등을 고객 의무로 명시하고 있다.

고객들은 인터넷나야나 홈페이지 게시판에 빠른 복구와 피해 보상을 요구하는 글을 게시하고 있는 상황이다. 향후 백업과 관련한 책임 공방이 가열될 것이라는 게 관련업계 전문가들의 예상이다.

인터넷나야나는 섬웨어에 감염되지 않은 웹호스팅, 서버 호스팅의 위탁관리와 인계 가능한 업체를 한국호스팅도메인협회를 통해 논의하고 있다.

한편, 랜섬웨어 공격자는 인터넷나야나에 암호화된 데이터 복구를 위해 최초 리눅스 서버당 10비트코인(3271만원)을 요구했으며,11일에는 리눅스 서버당 5.4비트코인(1755만원)을 오는 14일 23시59분까지 요구한 상태다.

랜섬웨어는 주요 파일을 암호화한 뒤 이를 복구하는 대가로 금전을 요구하는 악성코드다.

안랩에 따르면, ‘에레버스’ 랜섬웨어는 리눅스 운영체제(OS)의 주요 경로에서 특정 확장자를 가진 파일을 대상으로 암호화를 수행한다. 대상 확장자는 /bin,/boot,/dev,/etc,/lib,/lib64,/proc,/run,/sbin,/srv,/sys,/tmp,/usr,/var,/.gem,/.bundle,/.nvm,/.npm이며, 그밖에 .tar, .gz 압축 파일, docx, jpg 등 문서나 그림 파일같은 다양한 포맷의 파일 암호화를 적용한다. 암호화 후에는 파일명에 ‘.ecrypt’ 확장자를 덧붙인다.