문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 인터넷나야나 랜섬웨어 감염 사태 (문단 편집) == 진행 과정 == 6월 10일 토요일 새벽, 나야나의 서버에 에레버스(Erebus) 랜섬웨어가 감염되었다. 에레버스는 [[Microsoft Windows|윈도우]]를 타깃으로 한 랜섬웨어이나 나야나는 [[Linux|리눅스]] 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다.[* [[http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50124759|에레버스(Erebus) 랜섬웨어 주의]], 안랩, 2017년 6월 12일.] 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다. 나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해 주겠다는 입장을 밝혔다.[* [[http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=957|랜섬웨어 공격으로 인해 서버 점검]], 2017년 6월 10일.] 호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다.[* [[http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=101&oid=023&aid=0003287513|홈피·서버 관리업체, 랜섬웨어 감염… 중소온라인 쇼핑몰 홈피 줄줄이 폐쇄]](조선일보), [[http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=101&oid=052&aid=0001020496|웹호스팅 업체 랜섬웨어 감염...홈페이지 5천여 개 피해 우려]](YTN) 등.] 이 중 [[SBS 8 뉴스]]의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.[* [[http://news.naver.com/read.nhn?mode=LSD&mid=sec&sid1=105&oid=055&aid=0000538425|'고객사 1만여 개' 웹호스팅 업체, 랜섬웨어 감염]], SBS 8 뉴스, 2017년 6월 10일.] 6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 [[비트코인]](17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다.[* [[http://www.boannews.com/media/view.asp?idx=55228|인터넷나야나 공격 해커, 26억 원 상당의 비트코인 요구]], 보안뉴스, 2017년 6월 11일.] 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것[* [[http://www.saramin.co.kr/zf_user/recruit/company-info/idx/5611613?nomo=1|나야나 기업정보]].]을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다. 사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원 및 사이버수사대와 공조하겠으니 [[한강 인도교 폭파|동요하지 말고]] [[청해진해운 세월호 침몰 사고|믿고 기다려달라]]는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다.[* [[http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=959|Erebus Encrypted로 인한 시스템 장애]], 2017년 6월 11일.] 게다가 이 공지가 올라온 후인 6월 12일에도 [[http://www.nayana.com/bbs/set_view.php?b_name=freeboard&w_no=43162|나야나 자유 게시판에 올라온 글에 따르면]], FTP를 이용한 서버 상에서 랜섬웨어에 의한 암호화가 이루어지고 있다. [[http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=960|6월 12일 16시경 올라온 나야나의 공지]]에 의하면, 해킹된 페이지의 파킹 처리(공사 중 등의 페이지처럼 안내문을 띄우는 것), 협상 비용 마련을 진행 중이라고 한다. 또한 해커와의 협상 내용 또한 공개하였는데, 해커는 대출, 파산, 회사 규모와 연봉, 그리고 가족까지 구체적으로 언급하면서 협박했다. > [원문] > My boss tell me, your buy many machine, give you good price > 550 BTC > If you do not havce enough money, you need make a loan > > You company have 40+ employees, > every employees's annual salary $30,000 > all employees 30,000*40 = $1,200,000 > all server 550BTC = $1,620,000 > > If you can't pay that, you should go bankrupt. > But you need to face your childs, wife, customers and employees. > Also you will lost your reputation, business. > You will get many more lawsuits. > [한국어 해석][* 읽기 쉽게 의역한 것으로, 원문은 온통 문법 오류 투성이다. 해커가 영어 사용자가 아닌 것으로 추정할 수 있다.] > 우리 총책이 말하길, 너네 기계도 많이 산다며 > 비트코인 550개면 합당한 가격 아니야? > (복호화하기에)충분한 돈이 없으면 대출이라도 받아. > > 너네 회사 직원 40명 넘어. > 평균 연봉도 다 3만 달러[* 2017-06-14 15시 현재 기준 약 3천 4백만원]는 되네. > 3만 달러 * 40명 = 120만 달러 > 서버값 = 비트코인 550개 = 162만 달러[* 2017-06-14 15시 현재 기준 약 18억 3천만원] > > 돈 못 내겠으면 파산하든가. > 근데 너희 애들, 와이프, 고객들, 직원들 얼굴 볼 수 있겠니? > 넌 평판과 명성을 모두 다 잃고 > 수많은 소송에 시달리게 될 거다. [[미래창조과학부]]는 12일 오전 브리핑을 통해 인터넷나야나의 복구를 위해 필요한 조치를 지원하겠다는 입장을 밝혔다. 구체적으로는 [[한국인터넷진흥원]]과의 상세 취약점 점검을 통해 추가 피해를 막기 위한 보안 미비사항 지도와 기술 지원이 제공된다.[* [[http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=001&aid=0009331343|미래부 "랜섬웨어 감염 인터넷나야나에 기술 지원할 것"(종합)]], 연합뉴스, 2017년 6월 12일.] 한편 부산의 한 중소기업이 데이터 복구 업체를 통해 개별적으로 해커에게 비트코인을 지불하여 데이터를 복구받은 사례에 대해 [[한국인터넷진흥원]]은 '올바른 해결방식이 아니다'라고 우려를 나타냈다.[* [[http://news1.kr/articles/?3018041|"해커에 돈줬더니 원상복구" 랜섬웨어 기업피해 '현실화']], 뉴스1, 2017년 6월 12일.] 업계 관계자들은 백업을 용이하게 하기 위해 운영 서버와 백업 서버를 작업용 윈도우 PC에 SMB로 상시 마운트해 놓지 않았는가 추정하였다. 보안 상식상 말도 안되는 작업 방식이지만, 이렇게 수많은 서버가 순식간에 감염되고, 백업을 지원하지 않는 무료망은 오히려 감염되지 않은 상황이 쉽게 설명되기 때문이다.[* [[http://osen.mt.co.kr/article/G1110664758|인터넷나야나 사태, 원인은 Samba... 랜섬웨어 예방책은?]], OSEN, 2017년 6월 13일] 이는 KISA의 조사 결과와는 상관이 없는 일선 IT 커뮤니티의 추측 중 하나일 뿐이었고 결국 틀렸다. 6월 13일 나야나 측의 발표에 따르면 해당 랜섬웨어의 활동에 윈도우 서버는 무사하고 리눅스 서버만이 피해를 입었다고 한다. 처음부터 나야나의 리눅스 서버를 노린 것으로 파악된다.[* [[https://www.bloter.net/archives/282420|웹호스팅 업체 ‘인터넷나야나’ 랜섬웨어 감염…사고 원인 파악 중]] - 블로터, 2017년 6월 13일.] [[안랩]]의 분석에 따르면 이 랜섬웨어는 리눅스용 ELF 형식을 하고 있으며, 따라서 이번 사태는 윈도우 서버를 거쳐서 감염된 것이 아니라 처음부터 리눅스용 변종이었던 것으로 드러났다.[* [[http://asec.ahnlab.com/1068|국내 웹호스팅 업체 리눅스 서버 감염시킨 에레버스(Erebus) 랜섬웨어]] - 안랩, 2017년 6월 12일.] 2017년 6월 14일 9시 55분, [[http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=961|대표이사의 이름을 건 사과문과 현황글이 올라왔다.]] 나야나에서 4억의 현찰과 법인매각으로 8억, 총 12억 지불로 해커와 협상 진행 중이다. 해커는 14일 24:00까지 18억이 입금되지 않으면 비용을 2배로 올리겠다고 했다고 한다. 같은 날 12시를 기점으로 약 하루 동안 인터넷나야나 홈페이지에 접속이 불가능했는데, 이 시기에 임시 사이트가 만들어졌다. 6월 24일 시점에서 종종 불안정해지므로, 기존 사이트가 접속되지 않으면 임시 사이트로 접속하거나, 임시 사이트가 접속되지 않으면 기존 사이트로 접속할 것을 권한다. 2017년 6월 14일 16:21분, 13억에 해커 측과 합의하여 복호화 키를 받기로 하였다는 공지가 새로 등록되었다. 이는 2017년 현재까지 알려진 랜섬웨어 중에서 최고액이다. [[http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=001&aid=0009339915|그리고 1차 복호화 키를 받았다고 한다. 복구에는 성공했지만 16시간 동안 10여 개의 웹사이트를 복구하는데 그쳐 작업 시간이 길다고 한다.]] 나야나는 분할 상환 방식을 택했는데, 이는 금액을 마련할 시간(비트코인 매입 시간 등)을 벌기 위함도 있겠지만 돈을 다 줬다가 복구가 안되면 돈만 날리는 것이 됨으로 이를 방지하기 위함으로 보인다. 또한 나야나의 인수 의사를 밝힌 기업이 회사 자금을 담보로 자금을 빌려주는 형식으로 자금을 제공하여, 경영권은 그대로 유지되었다고 한다. 16일 스마일서브에서 랜섬웨어 공격 분석을 완료했다. 알려진 바와는 달리 Samba나 SMB 프로토콜과는 관련되어 있지 않으며, 공격의 원인은 내부자 공격이나, 내부 컴퓨터나 외부의 접속 허용 컴퓨터의 감염으로 인한 2차 공격으로 추정된다고 한다. [[http://idchowto.com/?p=35203|보고서 주소]]. 문서의 내용 상 뭔가를 잘못했다는 내용보다는 제대로 했는데 뭔가 음모의 세력이나 내부자가 있을 거라는, 마치 회사는 제대로 된 보안조치를 했는데도 불구하고 당했다는 뉘앙스를 풍긴다. 데이터 보안의 기본 중의 기본인 백업 데이터의 격리에 대해서는 일언반구도 없는 상황. 물론 대형 서버는 격리가 매우 힘들고, 격리를 위해서는 2배의 물리적 저장장치를 확보하여야 한다. 하지만 이는 호스팅 가능 서버 수와 백업 용량의 선택일 뿐이며, 인터넷나야나를 비롯한 웹호스팅 업체는 대부분 전자를 선택한다. 6월 22일에 올라온 12차 공지에 의하면 복호화 키를 모두 확보한 것으로 보여지며 전화 상담의 어려움, 회생 의지를 드러냈다. 아래는 12차 공지의 일부. >2017년 06월 21일까지 1~3차 협상에서 복호화키의 정상작동과 협상 그리고 복호화키를 받아 복구하기 위한 서버준비까지 동시에 진행하는 과정이 있었으며 이 과정에서 저희 회사의 모든 인력이 총동원되었지만, 턱없이 부족한 복구인력 및 장비 등으로 인해 고객님들께 안내 등의 대처가 미흡하였습니다. > >현재 3차까지의 모든 키를 받았으며 복구를 위해 최선을 다하고는 있지만, 아직도 많은 시간이 필요할 것으로 예상하며 그로 인한 고객님들의 피해 또한 예상됩니다. > >(중략) > >고객님들의 피해에 대해서도 외면할 생각 없습니다. 다만 현재 회사 사정에서는 해드릴 수 있는 것이 거의 없습니다. 회사의 모든 자산을 담보로 10억 정도의 차입금이 발생한 상황입니다. > >저희 회사에 회생의 기회를 주신다면 앞으로 최선을 다해 복구하고 랜섬웨어 공격과 그로 인한 장애에 대한 보상 계획안을 만들어 보상의 이루어질 수 있도록 노력하겠습니다. >또한, 앞으로 보안이나 백업 등 서비스의 품질에도 더 신경 써 재발 방지를 위해서도 부단히 노력하겠습니다. >그리고 이번 장애로 피해를 보신 상황임에도 불구하고 응원해주시고 격려해주신 모든 분들께 감사 말씀드립니다. >복구과정에서 필요했던 200여대의 서버와 수많은 엔지니어 인력을 지원해주신 업계관계자 분들께도 진심으로 감사 드리며 평생 잊지 않고 노력하는 모습 보여드리겠습니다. > >저로서는 이번 랜섬웨어 공격이 불가항력적인 일이란 생각에 모든 것을 내려놓고 포기하고 싶은 심정이었습니다. >그러나 저와 같은 피해자가 수천 수만 명이 될 수도 있는 상황을 만들 수 없어 모든 것을 포기하더라도 자료복구만은 해야 하겠다는 생각으로 복구를 진행했습니다. > >해커와의 협상이 해서는 안 되는 일이란 것도 알고 있습니다. 저 혼자만의 아니 저희 회사만의 피해로 끝나는 상황이었다면 해커와의 협상은 하지 않았습니다. >그러나 피해의 규모가 너무도 크고 너무나도 많은 분들이 피해를 볼 것이 불 보듯 뻔한 상황이라 어쩔 수 없는 선택이었습니다. > >이제는 3차까지의 협상이 모두 진행되어 복호화키값을 모두 받았으니 최선을 다해 복구에만 전념하여 최선을 다해 모두 복구될 수 있도록 노력하겠습니다. > >(중략) > >보상에 대해서는 고객님들의 피해가 너무도 다양하고 피해 정도가 다르므로 이에 대한 피해 규모 산정에 고심하여 회사가 회생할 수 있는 방향으로 여력이 되는 한 최대한 보상할 수 있도록 하겠습니다. >회사가 회생하지 못한다면 보상 또한 하고 싶어도 할 수 없는 상황입니다. >우선 복구가 완료된 이후 피해 및 보상계획에 대해 공지하도록 하겠습니다. > >[전화 상담에 대한 안내] > >전화 상담이 이루어지지 못한 이유는 한가지입니다. >저희 전 직원이 모두 전화 상담을 한다고 해도 상담을 다 할 수도 없을뿐더러 전화 상담을 하면 할수록 복구작업은 늦어지고 결국은 복구가 점점 어려워지는 상황이 되어 복구할 수 없기 때문입니다. >고객님들의 답답하고 하루하루 사이트가 열리지 않아 생기는 피해를 모르는 것은 아니나 그렇다고 전화를 붙잡고 있으면 복구는 할 수 없는 상황이기 때문에 공지로 안내해드리고 있는 점에 대해 고객님들의 양해 부탁드립니다. > >2017년 7월 10일부터 모든 전화 상담을 받을 수 있도록 하겠습니다. 그때까지는 복구에만 전념할 수 있도록 간곡히 부탁드리겠습니다. >대신 복구 상황에 대해 상세한 진행 공지는 지속해서 해나가도록 하겠습니다. > >복구가 100% 될지도 아직 미지수인 상황에서 상담이나 각종 피해, 보상 등을 협의할 수 없는 입장입니다. 힘드시고 답답하시겠지만 넓은 아량으로 이해해주시고 조금만 더 저희가 복구에 전념할 수 있도록 도와주십시오. > >고객님들 입장에서는 너무 이기적이고 기막히고 화나는 내용의 공지라고 생각하실 수도 있습니다. 다만 현재 저희가 할 수 있는 최선을 다하고 있으니 믿어주십시오. > >감사합니다. 13차, [[http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=971|14차 공지]]에 의하면, 복구 작업 중이며 일부 서버는 복구가 불가능할 것이라고 한다. 2017년 7월 10일에 웹호스팅 서버 복호화 작업이 끝났고 개별 사이트 복구 작업은 아직 진행 중인데, 7월 31일에 [[http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=975|피해 계정 보상 처리 안내와 함께 망 분리된 백업 시스템을 새로 구축했음]]을 알렸다. 6월 28일, [[http://www.yonhapnews.co.kr/bulletin/2017/06/28/0200000000AKR20170628047900017.HTML?input=1179m|미래부의 중간 조사 결과 발표 내용]]에 의하면, [[Advanced Persistent Threat|APT]] 공격과 랜섬웨어가 결합한 사고이며 관리자용 PC에 보안 문제가 있었다고 한다.저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기