웹호스팅 업체 '마루인터넷'이 랜섬웨어에 감염됐다. 현재 서비스 장애를 겪는 상태로 업체 측은 공격자와 협상을 시도한다.
마루인터넷은 자사 웹호스팅 홈페이지를 통해 지난 17일 오후 7시 30분경 침해 사고가 발생했다고 밝혔다. 이어 데이터 복구를 위해 공격자와 협상을 진행 중이라고 알렸다.
한국인터넷진흥원(KISA)에는 18일 신고했다. KISA 관계자는 “(업체에) 기술지원을 권고했고 현재 업체 측이 이를 검토 중”이라고 말했다. 침해 사고 발생 시 KISA 기술지원은 조사에 초점이 맞춰져 있어 현재로선 업체가 복구에 집중하고 있다는 설명이다.
마루인터넷이 어떤 랜섬웨어에 감염된 것인지는 아직 밝혀지지 않았다. 감염된 서버 대수, 피해를 입은 고객사 수 역시 정확하게 집계되지 않았다.
웹호스팅 업체를 겨냥한 랜섬웨어 공격은 국내에서 유독 활개를 친다. 피해를 극대화하는 웹호스팅 업체라는 사실과 함께 국내에선 공격자에게 억대 수익을 제공한 선례가 있기 때문이다.
2017년 '인터넷나야나' 사태가 대표적이다. 웹호스팅 업체인 인터넷나야나 측은 당시 랜섬웨어에 감염된 후 복호화 대가로 13억원에 달하는 비트코인을 공격자에게 지급했다. 업계에선 고객사를 고려한 불가피한 선택이었다는 의견과 함께 '나쁜 선례'를 남겼다는 비판이 나왔다.
보안업계에선 랜섬웨어에 감염되더라도 공격자에게 대가를 지불하지 말라고 권고한다. 금전을 제공하더라도 데이터 복구를 장담할 수 없고 같은 피해가 또다시 발생할 우려가 있기 때문이다. 공격자 요구에 따르는 것은 랜섬웨어라는 범죄를 유지하는 바탕이 된다.
랜섬웨어 피해를 막기 위해서는 백업 중요성이 강조된다. 문종현 이스트시큐리티 이사는 “백업이 잘 돼 있으면 랜섬웨어에 감염되더라도 복구할 수 있기 때문에 공격자에게 주도권을 줄 필요가 없다”면서 “관리하기 편하다는 이점 때문에 백업 서버를 온라인에 24시간 붙여놓는 업체가 많은데 공격자가 백업 서버로 들어갈 가능성이 있으므로 반드시 분리된 채로 백업해야 한다”고 조언했다.
이어 “최근 코로나19로 사회적 분위기는 위축돼 있지만 공격자는 더욱 바빠진 상황”이라면서 “사회 혼란을 틈타 이용자 심리를 자극하는 공격이 나오고 있으므로 이용자는 각별히 주의해야 한다”고 당부했다.
한편, 마루인터넷은 백업 파일을 보유한 고객사에게 데이터를 보내달라고 요청하고 임시 복구 방법을 안내한 상태다. 마루인터넷 측은 이번 침해 사고에 관한 본지 질의에 답변하지 않았다.
오다인기자 ohdain@etnews.com
