#A개발사는 웹과 파일 서버가 랜섬웹 공격을 받았다. 서버 내 데이터가 모두 암호화돼 업무에 어려움을 겪고 있다. B회사는 홈페이지 서버가 랜섬웹에 감염됐다. 홈페이지 서비스가 중단됐다.
웹서버에 저장된 데이터베이스(DB)를 암호화해 볼모로 삼고 돈을 요구하는 ‘랜섬웹(RansomWeb)’이 한국에 상륙했다. PC 데이터를 인질로 삼는 램섬웨어보다 한층 진화한 형태다.
이노티움(대표 이형택) 랜섬웨어침해대응센터는 8월 초부터 국내 서버DB를 공격하는 신종 랜섬웹이 확산해 비상령을 내렸다. 기존 랜섬웨어는 PC 데이터만 암호화되지만 랜섬웹 공격은 웹 서버가 중단돼 기업 서비스가 중단되는 심각한 피해가 나타난다. 이미 30여곳이 랜섬웹 피해를 입었다.
랜섬웹은 이메일이나 특정사이트를 방문해 감염되는 랜섬웨어와 달리 웹서버 해킹 공격으로 시작된다. 공격자는 웹서버를 해킹해 권한을 획득하고 관리자 몰래 서버를 조작한다. 기존에 쓰던 암호화 방법이 아니라 공격자 것으로 바꾼다. 본래 서버 관리자는 DB 데이터에 접근할 수 없어 정상적인 서비스를 제공할 수 없다.
공격자는 서버 DB를 암호화한 후 이메일을 보내 비트코인을 요구한다.
현재 국내서 감염된 서버는 FTP와 인터넷정보서비스(IIS)를 기본 포트로 한다. PC와 서버 로그인 계정이 동일했다. 원격 데스크톱 서비스가 활성화됐고 공인IP를 사용해 외부접속이 가능한 상태였다.
랜섬웹 침해를 예방하려면 해커가 등록한 윈도 작업 스케줄러를 제거해야 한다. PC나 서버가 이유 없이 5~10분 이상 속도가 느려지면 시스템을 강제로 종료한다. 디스크를 분리해 다른 장비에 옮겨 감염되지 않은 데이터를 복사한다. 서버 접근계정과 비밀번호를 강화한다.
이형택 이노티움 대표는 “해외에서 주로 발견되던 랜섬웹이 국내에 유입돼 피해가 확산 중”이라며 “공격자가 보낸 이메일을 보면 서툰 영어 표현에 문법에 오류가 있는 것으로 미뤄 동양권에서 변종을 만든 것으로 보인다”고 설명했다. 이 대표는 “서버 시스템 로그인과 서비스 계정을 다르게 설정해야 하며 불필요한 포트는 모두 차단해 피해를 줄여야 한다”고 덧붙였다.
김인순기자 insoon@etnews.com
