"인터넷나야나, APT와 랜섬웨어 결합된 공격"

미래부, 인터넷나야나 랜섬웨어 사고 중간 조사결과 발표

[이데일리 이유미 기자] 지난 10일 발생한 인터넷나야나 랜섬웨어 사고는 지능형 지속위협 공격과 랜섬웨어 공격이 결합된 것으로 들어났다. 또 회사 측에도 기술적 결함이 있었던 것으로 밝혀졌다.

미래창조과학부와 한국인터넷진흥원(KISA)은 28일 오전 10시 정부과천청사 회의실에서 제2차 랜섬웨어 대응 민·관 협의회를 개최하고 이와 같은 내용을 발표했다. 이번 회의는 지난 10일에 발생한 호스팅 업체 인터넷나야나의 랜섬웨어 침해사고에 대한 중간 조사결과, 대응현황 공유 및 재발방지를 위한 대책 등을 논의하기 위해 마련됐다.

우선 미래부는 인터넷나야나 침해사고 중간 조사 결과 발표에서 이번 침해사고를 중소 인터넷기업을 대상으로 하는 지능형 지속 위협(APT) 공격과 랜섬웨어 공격이 결합된 사고로 밝혔다. 

구체적 해킹과정으로는, 해커는 사전에 탈취한 계정정보를 활용해 인터넷나야나의 통신용 게이트웨이 서버(고객서버 우회접속 경유지) 및 호스팅 사업부 웹서버(악성코드 유포지)를 해킹해 공격 거점 마련했다. 이후 통신용 게이트웨이 서버를 경유해 고객서버(153대)에 랜섬웨어를 설치하고 백업자료(자체·별도서버) 삭제 및 10일 오전 1시에 랜섬웨어를 실행(암호화)한 것으로 조사됐다.

미래부는 정보통신망법 제45조제2항 정보보호조치에 관한 지침(권고)에 따르면 관리용 단말 보안, 서버 접근 통제 등 기술적·관리적 취약점이 존재했다고 밝혔다.

자료 복구가 진행 중인 인터넷나야나에 대해서는 관리용 단말보안, 서버 접근 통제, 백업 정책 등 침해사고 조사 과정에서 발견된 취약점을 개선·보완할 수 있도록 보안강화 조치를 요청했다. 자료 복구 과정에서 추가적인 랜섬웨어 감염 및 공격을 차단하기 위해 사고현장에 인력(KISA)을 파견해 기술지원을 진행하고 있다. 자료 복구 완료 후에는 회사의 전반적인 보안취약점 점검을 지원할 예정이다.

이어진 토론에서 전문가들은 랜섬웨어 공격이 개인과 기업을 넘어 IoT단말·융합산업 등 사회 전반으로 확대되고 금전을 노린 다양한 사이버공격이 기승을 부릴 것으로 전망하고, 랜섬웨어 사이버위협에 대한 사전 예방과 실시간 대응체계로의 개편 및 국제적인 해킹범죄 차단 등에 대한 다양하고 구체적인 의견을 나눴다.

미래부는 유사 사고의 재발방지를 위해 국내 기업들의 기본적인 보안관리 강화를 요청했다. 특히, 네트워크 보안 모니터링 체계 구축, 관리용 단말의 보안강화(전용단말, 일회용 패스워드 사용 등) 및 강화된 백업정책(높은 수준의 접근통제, 오프라인 백업 등)을 강조했다.

타인의 정보자원을 관리·운영해주는 호스팅 사업자에 대해 실태·현황조사를 통해 취약점 점검·지원을 실시하고, 예상하지 못한 기업의 랜섬웨어 사고에도 피해를 안전하게 복구할 수 있도록 백업보안 가이드를 제정·보급할 계획이다.

또, 제품 및 서비스의 보안취약점에 대한 종합적 관리체계 구축, 민관 공조 및 협력을 통한 신·변종 악성코드의 탐지·식별·분석·차단 시간 단축, 암호파일 복구기술 연구 및 종합 상담·지원체계 마련 등 피해복구 방안을 구체화하여 관련 대책을 시행할 계획이라고 밝혔다.

송정수 미래부 정보보호정책관은 “사이버보안은 기업의 존폐를 결정하는 핵심 변수로 선택이 아닌 필수사항이다”라며 “랜섬웨어로부터 국민과 기업의 피해를 막을 수 있도록 기본적인 보안수칙 실천과 기업의 보안투자 확대를 위해 노력하겠다”고 말했다.