백업만 믿고 있었는데 랜섬웨어에 당했다 “반드시 분리 보관해야”

[디지털데일리 최민지기자] 중소기업 및 개인 홈페이지들의 피해가 속출하고 있는 웹호스팅 업체 '인터넷나야나'의 랜섬웨어 사태로 인해 백업서버의 분리 보관 중요성이 커지고 있다.

인터넷나야나는 보안 부분과 이중 백업을 철저히 시행했으나 해커 공격으로 인해 해당 서버들의 데이터가 랜섬웨어에 감염됐다고 12일 공지했다.

이와 관련 보안업계 전문가는 '백업 데이터까지 랜섬웨어에 걸려 암호화됐다는 것은 분리가 안 됐다는 방증'이라며 '별도로 백업서버를 분리해 보관해야 한다'고 말했다.

이번 인터넷나야나를 공격한 랜섬웨어는 '에레버스(Erebus)'로 조사됐다. 대다수 랜섬웨어는 윈도 취약점을 노리는 경우가 많은데, 이번에는 특이하게 리눅스용 랜섬웨어로 밝혀졌다. 인터넷나야나 서버 300대 중에서 리눅스 서버 153대가 이번 랜섬웨어에 감염된 것으로 추정된다.

에레버스 랜섬웨어는 지난해 말경부터 국내에서 나타나기 시작했는데, 해외 감염 사례는 알려진 바 없다. 리눅스용 랜섬웨어로 웹호스팅 업체를 공격해 이 정도의 피해를 입힌 경우는 사실상 처음이다.

미래부가 조사한 피해규모만 3400여 홈페이지에 달하며, 153대에 해당하는 홈페이지는 5000여곳에 이른다. 최종 조사결과 때 이보다 더 많은 피해규모가 산출될 것으로 예상되고 있다.

이 관계자는 '백업서버를 분리해 보관해야 하지만, 실시간 백업 중요성이 커지면서 온라인과 연계해 사용되는 방법이 통용돼 왔다'며 '온라인 연동은 침해사고 때 통로 역할을 하기 때문에, 원론적으로는 백업서버를 분리해야 하는데 이렇게 하면 또 실시간 백업 동기화에 어려움이 생긴다'고 지적했다.

이어 '지금까지는 인터넷나야나와 같은 사례가 없어 연동시켜 왔는데, 이번 사고를 통해 상황은 달라졌다'며 '이번 사고를 교훈 삼아 별도로 백업서버를 보관해야 하는 방법에 대해 고민해야 한다'고 덧붙였다.

이와 함께 이날 한국인터넷진흥원(KISA)은 최근 기업 및 호스팅 업체의 다수 서버가 랜섬웨어에 감염돼 주의가 필요하다며 백업체계를 강조했다.

KISA 측은 '이번 랜섬웨어에서 주요 공격 대상은 호스팅 및 클라우드 서버 내 자료'라며 '랜섬웨어에 감염되면 자료 복구가 불가능하므로 백업체계의 구축 및 운영, 보안성 강화가 중요하다'고 강조했다.

KISA는 대응방안으로 ▲자료 백업 관리를 위한 정책 수립 ▲백업 체계(망구성, 백업절차, 백업매체 등) 구축 및 운영 ▲백업 체계의 보안성 강화를 꼽았다. 네트워크가 분리된 외부 저장 장치를 이용해 주요 자료를 백업하고 별도로 보관해야 한다. 네트워크 연결이 필요하면 백업 장비에 대한 접근 통제 등 보안성을 강화해야 한다.

이날 인터네나야나는 홈페이지를 통해 '랜섬웨어에 감염된 파일로 확인 후 백업된 자료로 복구하려고 했으나, 원본 파일을 포함한 내부 백업 및 외부 백업 모두 랜섬웨어에 감염돼 모두 암호화됐다는 사실을 확인했다'고 공지했다.

또 '고객들이 보내는 백업 파일을 이용해 랜섬웨어가 걸리지 않은 신규 서버에 복원 세팅을 진행하고 있으며, 변조된 인덱스 페이지를 파킹 페이지로 변경하고 있다'며 '랜섬웨어에 감염되지 않은 웹 호스팅, 서버 호스팅의 위탁관리 및 인계가 가능한 업체를 한국호스팅도메인협회를 통해 논의하고 있다'고 전했다.

<최민지 기자>cmj@ddaily.co.kr

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -