외부 기업·단체들의 사이트를 전문 관리해주는 웹호스팅(web hosting) 업체에 대한 랜섬웨어 해킹 공격 한방에 이 회사가 관리하는 3400개 사이트가 나흘째 완전히 마비됐다. 13일 현재 피해 업체 중 가장 많은 중소 인터넷 쇼핑몰은 나흘째 거래가 중단됐고 국회의원 심상정 홈페이지를 비롯해 대한에이즈예방협회, 서울대 분자의학 및 바이오제약학과, 대한약침학회, 코리아저널, 한국청소년골프협회 홈페이지는 접속이 불가능한 상태다. 고객 홈페이지를 관리하는 업체가 공격을 받으면서 서비스를 받던 기업·기관들이 모조리 피해를 입은 것이다. 공격을 당한 웹호스팅 업체는 파산 위기에 몰렸다.
◇3400여 피해 업체 발만 동동
지난 10일 오전 1시 5분 서울 양천구 목동에 있는 웹호스팅 업체 인터넷나야나의 IDC(인터넷데이터센터)에 해커들의 공격 징후가 포착됐다. 백업 서버(대형 컴퓨터)를 첫 타깃으로 한 랜섬웨어 공격은 순식간에 퍼졌다. 손쓸 틈도 없이 불과 1~2분 사이에 네트워크를 타고 홈페이지 운용 서버 153대가 감염됐다. 해커들이 교묘하게 원본 자료를 복사해 둔 백업 서버부터 공격한 바람에 복구 작업은 진전이 없다. 윤광택 시만텍코리아 CTO(최고기술책임자)는 "과거에도 랜섬웨어가 웹호스팅 업체를 공격한 적은 있지만 백업 자료만 있으면 복구가 가능했다"며 "이번엔 백업 서버를 먼저 노리면서 문제가 커졌다"고 말했다.
대한에이즈예방협회 관계자는 "2014년 홈페이지를 개편한 뒤부터 쌓아 놓은 인터넷·전화 상담 자료 3만여 건과 각종 분석 자료가 고스란히 사라질 판"이라며 "웹호스팅 업체에서 백업해주는 걸로 알았는데 암담하다"고 말했다. 한국학 학술지 사이트인 코리아저널을 운영하는 유네스코한국위원회 측도 "2000년대 초반부터 사이트에 축적한 논문 심사 내역이 모두 날아갔다"며 "백업을 해놓지 못한 30%가량은 복구가 불가능한 상황"이라고 말했다.
해커 측은 현재 153대 서버 전체를 살리는 조건으로 550비트코인(약 18억원)을 요구하고 있다. 인터넷나야나에 따르면 해커는 인터넷나야나 전체 임직원 연봉을 120만달러(약 13억5000만원)로 추정하고는 "1년 인건비 정도인 금액을 지급하지 않고 버티다가는 파산을 피하기 힘들 것"이라며 압박하고 있다. 회사에 대한 정보를 미리 파악하고 정밀 타깃 공격을 했다는 방증이다. 인터넷나야나는 전체 직원이 30여 명으로 지난해 매출 30억원, 영업이익은 3억원 수준이다. 이 회사 관계자는 "해커와 협상을 진행하고 있으며 대표가 '몸값' 지불을 위해 회사 지분을 담보로 금융권 대출을 받는 방안도 추진하고 있다"면서 "회사가 존폐 기로에 서 있는 게 사실"이라고 말했다.
◇"영세한 웹호스팅 기업들 보안 시스템 구축은 엄두도 못 내"
그동안 축적해 놓은 자료를 몽땅 날리게 된 고객사들도 "자료를 복구해내지 못하면 소송을 제기하겠다" "영업 손실을 보상하라"며 격한 반응을 쏟아내고 있다. 지금으로선 인터넷나야나가 해커가 제시한 금액을 내지 못할 경우 암호화된 자료와 홈페이지는 영영 사라질 가능성이 크다.
문제는 제2, 제3의 인터넷나야나 사태가 언제든 재발할 수 있다는 것이다. 한때 업계 수위권이었던 인터넷나야나가 랜섬웨어 공격 한 번에 쉽게 뚫릴 정도로 우리나라 웹호스팅 업체들의 보안 시스템이 취약하기 때문이다. 게다가 국내 웹호스팅 업체 대부분은 운영체제(OS) 비용을 절감하기 위해 인터넷나야나와 같이 무료 운영체제인 리눅스 서버를 운용하는 것이 일반적이다. 한 웹호스팅업체 직원은 "백업 서버와 운용 서버의 망 분리가 필요한 것은 알지만 그렇게 하려면 서버 임대, 인력 등 추가 비용이 상당하다"며 "인건비 따먹는 수준인 웹호스팅 업체들은 현실적으로 감당하기 힘들다"고 말했다. 국내 웹호스팅 업체는 가비아·카페24 등 수십만 개 기업의 자료와 홈페이지를 관리하는 대형 업체부터 직원 1~2명인 영세 업체까지 수백 곳에 이르고 웹호스팅 서비스를 받는 기업·기관·단체는 100만개를 웃돈다.
이동근 한국인터넷진흥원(KISA) 침해사고분석단장은 "웹호스팅 업체들이 과도하게 난립해 실태 파악조차 힘든 게 현실"이라고 말했다.
☞랜섬웨어(ransomware)
몸값을 뜻하는 랜섬(ransom)과 악성 코드(멀웨어·malware)를 합성한 말이다. 해커들은 문서·동영상 등 중요 파일을 암호화해 못 쓰게 한 뒤 다시 파일을 되살려주는 대가로 돈을 뜯어낸다.