청호PENTEST - Professional Penetration Testing Company

Select Language

지난해부터 한국 호스팅 기업 공격하면 돈 준다는 것 학습을 통해 알게 돼

encryption-2.jpg

웹호스팅 업체 인터넷나야나(황칠홍 대표)가 에레버스(Erebus) 랜섬웨어 몸 값으로 13억원(397.6 비트코인)을 해커에게 지급하고 서버 153대에 대한 복호화키를 받기로 합의했다고 14일 공지했다. 한화 13억원은 랜섬웨어가 해커들의 주요 돈벌이 수단이 되면서 가장 큰 규모의 몸 값지불 금액을 기록하게 됐다.

에레버스 랜섬웨어 제작자가 중국이나 북한의 해커라는 추정도 나오고 있지만 아직 확실한 내용은 밝혀지지 않았고 이들이 어떻게 인터넷나야나 내부 리눅스 서버에 랜섬웨어를 유포했는지 명확한 침투경로도 나오지 않았다. 현재 한국인터넷진흥원에서 분석 중이며 곧 발표될 예정이다.

한편 이번 인터넷나야나 랜섬웨어 공격은 “한국 호스팅 업체를 공격하면 돈을 받을 수 있다는 학습이 된 결과”라는 분석이 나왔다.

최 상명 하우리 센터장은 “지난해 말 이미 국내 모 호스팅 업체가 에레버스 랜섬웨어 공격을 받아 당시 2비트코인(당시 시세로 168만원)을 지불한 바 있다. 또 올해 1월 또 다른 호스팅 업체가 에레버스에 당해 60비트코인(당시 시세로 6천780만원)을 지불하고 복구한 것으로 조사됐다”고 말했다.

즉 에레버스 랜섬웨어 공격자들은 이미 학습을 통해 한국 호스팅 업체를 공격하면 어쩔 수 없이 돈을 지불할 수밖에 없다는 것을 확인한 것이다. 이런 몇 차례 학습을 통해 확신을 가진 공격자는 이번에 제대로 인터넷나야나를 공격해 13억원의 수익을 올린 것으로 파악된다.

이에 최 센터장은 “이번 인터넷나야나 사건을 계기로 한국 기업을 대상으로 한 랜섬웨어 공격이 더욱 거세질 것으로 예상된다. 돈을 받을 수 있다는 학습이 된 것”이라며 “다양한 예방책이 있지만 망분리 백업 체계를 마련하는 것이 무엇보다 중요하다. 또 이번 공격에서 리눅스용이 처음 확인됐기 때문에 리눅스 서버에 대한 보안 강화도 필요하다”고 강조했다.

인터넷나야나는 지난 10일 에레버스 랜섬웨어 공격을 받아 리눅스 서버 300여 대 가운데 153대가 감염돼 서버에 연결된 3천400여개 사이트 정보가 암호화되는 피해를 입었다.

업 체 측은 15일 공지를 통해 “어젯밤부터 해커와 타협이 이뤄진 1차 복호화 키에 대한 비트코인(Bitcoin)을 송금했고 복호화 키를 받고 있다. 오늘중으로 회사를 담보로 관련 업계에서 도움을 주시면 비트코인을 매입해 2차 3차 협상 분을 송금할 예정이다. 회사의 경영권 인수의사를 밝혔던 업체에서 회생의 기회를 주기로 해 협상 비용만 차입하고 운영은 인터넷나야나의 임직원이 그대로 할 수 있게 됐다. 도움을 주신 업계 관계자분들께도 감사의 말씀 드린다. 또한 복호화 과정이 다소 더 걸릴 것으로 예상해 전체 복구까지는 최소 2주 정도의 시간이 더 필요할 것으로 예상한다”고 밝혔다.

한편 이 업체 황칠홍 대표는 14일 공지사항에 이번 랜섬웨어 공격자들에게 “나의 좌절은 지켜보더라도 나의 소중한 고객의 자료만은 복구 할 수 있게 도와줘라. 한화4억 원(123bit)를 주겠다. 만약 복구를 할 수 있게 된다면 나는 좌절하겠지만 나의 고객은 다른 좋은 회사에서 다시 일어설수 있을 것이다. 당신이 정말 해커라면 이 정도는 해줘야 한다고 생각한다. 나는 나의 모든 것을 잃는다 해도 제발 부탁한다. 나의 고객들을 살 수 있게 도와줘라”라는 글을 올려 현재의 침통한 심경을 전하기도 했다.

하지만 결국 공격자는 13억원을 받기로 합의한 후 복호화키를 주는 것으로 협상을 마무리지었다. 공격자들은 기업이 망하든 말든 일말의 동정심도 없다는 것을 이번 사건으로 보여줬다. 앞으로 얼마나 더 무서운 공격들이 이어질지 모를 일이다. 학습을 통해 돈 맞을 본 랜섬웨어 공격자들의 한국 기업을 대상으로 한 공격은 더욱 거세질 전망이다.

번호 제목 닉네임 조회 등록일
6503 엠투소프트 ActiveX 사용자, 악성코드 감염 주의
[레벨:30]관리자
3 2017-06-19
6502 ‘랜섬웨어 공포’ 노린 메일 유포! “감염 안 되려면 비트코인 내놔”
[레벨:30]관리자
4 2017-06-19
6501 어도비 제품군 최신 보안취약점…악성코드 감염 위험 커 주의
[레벨:30]관리자
4 2017-06-16
6500 사이버 공격자들, Samba 취약점 악용해 시스템 공격…주의
[레벨:30]관리자
6 2017-06-16
6499 전력그리드 공격용으로 제작된 크래쉬 오버라이드 악성코드
[레벨:30]관리자
4 2017-06-16
Selected 랜섬웨어 공격자들, 이미 지난해부터 한국 호스팅 업체 공격해 돈 맛 봤다
[레벨:30]관리자
7 2017-06-16
6497 미국이 디도스 봇넷의 배후로 북한을 공식 지목했다
[레벨:30]관리자
4 2017-06-16
6496 CVE-2017-8551 外
[레벨:30]관리자
5 2017-06-16
6495 인터넷나야나 랜섬웨어, 또 다른 웹호스팅 업체 공격 ‘전적’
[레벨:30]관리자
3 2017-06-16
6494 인터넷나야나, 파산 각오하고 해커와 협상한다고?
[레벨:30]관리자
3 2017-06-15
6493 유로폴 공조로 지불카드 사기단 31명 검거 성공
[레벨:30]관리자
2 2017-06-15
6492 어도비 플래시 업데이트 파일 위장 ‘직소’ 랜섬웨어 유포중
[레벨:30]관리자
2 2017-06-15
6491 웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보
[레벨:30]관리자
6 2017-06-14
6490 오직 전력망만 노리는 멀웨어, 전 세계 정전 위험
[레벨:30]관리자
4 2017-06-14
6489 CVE-2017-1247 外
[레벨:30]관리자
4 2017-06-14
6488 일본 14세 소년, 랜섬웨어 만들었다가 체포
[레벨:30]관리자
4 2017-06-13
6487 러시아 해커, 카타르통신 해킹해 가짜 뉴스 업데이트…혼란 조장
[레벨:30]관리자
6 2017-06-13
6486 웹호스팅업체 암호화시킨 ‘에레버스 랜섬웨어’ 특징…지난 2월에 이미 경고
[레벨:30]관리자
7 2017-06-13
6485 CVE-2017-9543 外
[레벨:30]관리자
5 2017-06-13
6484 유명 브랜드 URL 꼼꼼히 살펴야 피싱 공격 피한다
[레벨:30]관리자
5 2017-06-12
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X