2000년대 한국 인터넷은 ‘게시판’ 시대였다. ‘제로보드(XE)’로 대표되는 게시판 프로그램(CMS)을 바탕으로 각종 커뮤니티 사이트와 개인 혹은 중소 규모 홈페이지가 개설됐다. 게시판 프로그램을 설치해 홈페이지를 만들기 위해서는 호스팅이 필요했다. 호스팅이란 홈페이지를 개설할 수 있는 서버 공간을 임대해주는 서비스다.

2000년대 초·중반 인기를 끌었던 호스팅 전문 업체 중 하나가 바로 ‘인터넷나야나(이하 나야나)’다. 프로모션 격인 무료 호스팅 서비스가 좋은 평가를 받았다. 유료 호스팅도 상대적으로 저렴해 많은 유저들이 몰렸다. 회원 1만여 명. 나야나가 마련한 터전(서버)에 수많은 사람이 기록을 남기거나, 사업을 벌였다. 업계를 주도할 정도로 큰 기업은 아니었지만, 모바일 시대에도 많은 이들이 나야나에 온라인 공간을 빌렸다. 이 ‘디지털 생활공간’에 큰 사건이 일어났다.

6월10일 새벽 1시 정각, 나야나가 운영하는 호스팅 서버 153대에 일제히 랜섬웨어가 작동됐다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 컴퓨터 시스템을 암호화해 몸값을 요구하는 바이러스 프로그램을 뜻한다. 나야나 서버를 장악한 랜섬웨어는 에레보스(Erebus)라는 리눅스용 프로그램으로, 153개 서버에 자리 잡고 있던 5496개 홈페이지를 일시에 정지시켰다. 각 기업·개인 홈페이지 접속 화면에는 “당신의 문서, 사진, 데이터베이스, 그리고 중요한 파일은 모두 암호화되었다”라는 경고 메시지만 떴다. 153개 빌딩(서버)이 일시에 문이 잠겨, 세입자(유저)는 집이나 사무실로 들어갈 수도, 그 안에 있는 물건(파일)을 꺼내올 수도 없었다. 피해를 본 유저(세입자)들은 다양했다. 병원, 학원, 쇼핑몰, 대학 커뮤니티, 중소기업 등이었다. 나야나 호스팅 서비스를 이용하던 정의당 심상정 대표의 홈페이지 역시 랜섬웨어 피해를 입었다.

ⓒ시사IN 신선영랜섬웨어는 컴퓨터 시스템을 암호화해 몸값을 요구하는 바이러스 프로그램이다.

6월27일 미래창조과학부 산하 한국인터넷진흥원(KISA)의 중간조사 결과 발표에 따르면, 이번 사태는 ‘지능형 지속 위협(APT)’ 공격과 랜섬웨어 공격이 결합된 사건이다. 쉽게 말해 불특정 다수를 상대로 광범위하게 랜섬웨어가 퍼진 게 아니라, 해커가 애초부터 나야나라는 업체를 노리고 공격해 랜섬웨어를 심었다는 얘기다.


해커가 별도 분리되어 있는 백업 서버까지 암호화하면서 일이 커졌다. 호스팅 업체는 기본적으로 각 데이터를 정기적으로 이중·삼중 백업해 외부 접속을 차단해둔다. 나야나에 침투한 해커는 회사 관리자 컴퓨터를 장악해 백업 서버 데이터까지 암호화하는 데 성공했다. ‘인질극’을 벌이기 좋은 환경을 만든 것이다. 백업 데이터가 안전했다면 새 서버에 데이터만 얹혀 복구가 가능했지만, 이번에는 그런 해결도 불가능했다.

해커 그룹은 나야나에 데이터(153개 서버)를 볼모로 몸값을 요구했다. 해커 측이 요구한 최초 몸값은 서버당 10비트코인. 우리 돈으로 약 3271만원이었다. 153개 서버를 모두 살리려면, 약 50억원을 내놓으라는 요구였다. 이후 협상 과정에서 몸값은 13억원으로 낮출 수 있었다. 하지만 관계 당국과 보안 업계 관계자들은 나야나 측에 우려를 전했다. 몸값을 지불한다고 해서 데이터를 온전히 복구할 수 있다는 보장이 없는 데다, 해커 그룹에 굴복하고 돈을 지불했다는 국제적인 오명이 남는다는 이유였다. 나야나 측은 빨리 서버를 복구해야 한다며 해커와의 협상에 적극 나섰다. ‘인질극’이 길어질수록, 향후 나야나가 각종 소송에 휘말릴 가능성이 점점 높아지기 때문이다. 랜섬웨어 공격을 받은 지 5일째인 6월14일, 황칠홍 나야나 대표이사는 해커와의 최종 협상 타결을 알렸다.

랜섬웨어는 데이터를 미끼로 돈을 요구한다는 점에서 기존 바이러스 프로그램과 차이를 보인다. 가상화폐의 일종인 비트코인이 전 세계적으로 통용되면서 수사기관의 금융거래 추적을 피하기 용이해진 덕분이다. 몸값을 지불한다고 해도 실제 데이터를 살려줄지는 누구도 보증할 수가 없다. 5월12일 발생한 ‘워너크라이(WannaCry)’ 사태 당시에도 이 같은 예견이 맞았다. 전 세계 약 150개국, PC 20만여 개를 감염시킨 워너크라이는 개인 컴퓨터 및 단말기를 먹통으로 만드는 윈도용 랜섬웨어다. 워너크라이 역시 비트코인을 지불하면 암호화를 풀어주겠다고 했다. 실제 돈을 지불한 사람들은 ‘지불 완료’ 화면만 맞이했을 뿐이다. 제대로 시스템이 복구되지 않았다.

해커들에게 한국 중소기업은 좋은 먹잇감

이 같은 우려는 나야나 사태에서도 반복됐다. 나야나는 해커에게 몸값을 지불한 후, 해커로부터 복호화 코드와 복호화 프로그램을 제공받아 서버 복구에 나섰다. 복구 작업 12일 만인 6월26일, 나야나 측은 “일부 파일 복구가 불가능할 수 있다”라는 공지글을 자사 홈페이지에 올렸다. 해커로부터 받은 복호화 프로그램이 한글을 인식하지 못해, 파일 이름이 한글이나 특수문자인 경우 복구가 어렵다는 설명이었다. 게다가 감염 서버 153대 중 2대는 기계적 문제로 100% 복구가 힘든 것으로 알려졌다. 비유하자면 테러리스트에게 몸값을 치르고도, 결국 일부 인질이 사망한 셈이다. 나야나 측은 “일부 서버에서는 복호화가 어렵다. 유저가 직접 백업받아둔 데이터가 있으면 보내달라. 복구해드리겠다”라는 공지를 올린 채, 여전히 복구 작업을 진행하고 있다.

‘인터넷나야나’의 서버에 랜섬웨어가 작동하자 회사는 긴급하게 공지글을 올렸다.

이번 나야나 랜섬웨어 감염 사태는 한국 IT업계 전반에 큰 충격으로 다가왔다. 보안에 가장 민감해야 할 호스팅 업체가 해커에게 뚫렸다는 점, 네트워크가 차단되어 있어야 할 백업 서버까지 피해를 당했다는 점이 가장 먼저 도마 위에 올랐다. KISA는 이번 사태가 나야나 측의 기술적·관리적 취약점에서 비롯됐다고 설명했다. KISA는 6월26일 중간조사 결과 발표에서 “주요 서버에 접속할 수 있는 관리용 단말기가 인터넷에 접속 가능했다. 서버 역시 ID와 비밀번호만 알면 접속이 가능했다. 계정 탈취에 대한 대비가 부족했다”라고 밝혔다.


나야나가 해커에게 지불한 13억원도 여전히 논란거리다. 랜섬웨어 피해에 13억원이라는 액수를 지불한 것은 전 세계적으로 매우 이례적이다. 150개국을 뒤흔든 워너크라이도 7월7일 현재까지 337명으로부터 총액 약 1억4900만원(13만5655달러, 약 52비트코인)을 받아내는 데 그쳤다. 나야나 사태는 전 세계 해커들에게 일종의 신호를 보냈다는 지적이 나왔다. 힘들여 여러 곳에 랜섬웨어를 뿌리는 것보다, 한국 중소업체를 뚫는 게 돈을 벌기에 효과적이라는 것이다. 국내 보안 전문가들도 랜섬웨어의 단순 유포보다 해커의 ‘기획 공격’이 뒤이을 수 있다는 점을 우려했다.

워너크라이 사태 이후 랜섬웨어 자체도 더욱 정교해지고 있다. 지난 6월27일 신종 랜섬웨어 페트야(Petya)의 공격으로 전 세계 150여 개국에서 약 30만 건 이상 피해가 발생했다. 유럽연합(EU) 수사기구인 유로폴(Europol)은 6월28일, “페트야는 워너크라이와 유사하지만, 훨씬 진화된 버전”이라고 설명했다. 일부 보안 전문가들이 랜섬웨어의 암호화를 풀어내는 프로그램을 만들기도 하지만, 랜섬웨어 제작자들 역시 곧바로 이런 ‘복호화 툴’이 무력해지도록 지속적으로 업그레이드하고 있다.

결국 랜섬웨어 사고를 막는 방법은 국가나 회사의 보안 정책을 강화하고, 개인이 수시로 운영체제 보안 업데이트를 확인하는 길 외에는 없다. 랜섬웨어는 결국 ‘소 잃고 외양간 고치기’조차 불가능하게 만들었다.

기자명 김동인 기자 다른기사 보기 astoria@sisain.co.kr
저작권자 © 시사IN 무단전재 및 재배포 금지
이 기사를 공유합니다