IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

인터넷나야나, 관리자 계정정보 털렸다

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

탈취 계정으로 새벽 1시 동시 공격 …"유출경위 조사중"

[아이뉴스24 김국배기자] 랜섬웨어 공격으로 13억 원을 갈취당한 호스팅 업체 인터넷나야나의 침해 사고 원인은 서버 관리자의 아이디와 패스워드, 즉 계정정보가 탈취당한 탓으로 드러났다.

해커는 사전에 관리자 계정정보를 취득한 덕에 153대의 호스팅 서버에 손쉽게 접근하고 랜섬웨어를 심을 수 있었다. 또 랜섬웨어는 같은 날 같은 시각에 동시 실행되도록 시간을 설정해둔 것으로 확인됐다.

계정정보 유출경위는 밝혀지지 않았지만 관리자 계정정보가 탈취된 만큼 현재로선 관리자 PC가 해킹당했을 가능성이 높다.

미래창조과학부와 한국인터넷진흥원(KISA)은 지난 10일 발생한 인터넷나야나 침해사고 중간조사 결과를 28일 발표했다.

미래부는 이번 사고를 "중소 기업을 대상으로 한 지능형지속위협(APT) 공격과 랜섬웨어 공격이 결합된 사고"라고 결론지었다.

조사 결과 해커는 사전에 탈취한 정보를 통해 통신용 게이트웨이 서버 1대와 호스팅 사업부 웹서버 1대를 해킹해 공격 거점으로 확보했다.

게이트웨이 서버는 관리자PC와 호스팅 서버를 연결해주는 역할을 한다. 관리자는 게이트웨이 서버를 통해서만 호스팅 서버에 접근할 수 있는데, 해커는 이 서버에 백도어(뒷문)를 설치해 드나들었다. 호스팅 사업부의 웹서버는 악성코드 유포지로 쓰였다.

즉, 해커가 사건 발생 직전인 6월 5일부터 9일 사이 게이트웨이 서버를 통해 153대의 피해 서버에 일일이 들어가 웹서버에 접속, 랜섬웨어를 다운로드해 설치한 것이다.

또 백업 서버에 있는 자료를 모두 삭제했으며, 랜섬웨어가 10일 오전 1시 정각에 동시에 실행돼 데이터베이스(DB), 이미지, 프로그램 등이 암호화되도록 시간 설정까지 해둔 것으로 조사됐다.

관리자 계정정보가 탈취된 것으로 밝혀지면서 계정정보를 보관하고 있던 관리자 PC가 해커에게 뚫렸을 것으로 의심된다.

보안업계 관계자는 "153대 서버의 비밀번호를 일일이 기억할 순 없었을 것"이라며 "숫자 한 개를 바꾸는 식으로 조금씩 다르게 만든 비밀번호를 엑셀 파일 등으로 저장해 관리자 PC에 보관했을 수 있다"고 말했다.

미래부와 KISA는 추가 조사를 진행중이라며 최초 계정정보 유출 경위에 대해서 입을 굳게 다물고 있다.

다만 해커가 백도어를 설치한 게이트웨이 서버에 숨어 관리자PC가 이를 거쳐 호스팅 서버에 접근할때마다 계정정보를 훔쳤을 가능성은 일축했다. 관리자PC 해킹 가능성이 높아보이는 대목이다.

더욱이 이번 결과에는 포함되지 않았지만 조사 관계자들 사이에선 해커가 모든 계정정보를 한꺼번에 탈취했을 가능성이 높은데, 전체가 아닌 153대 만을 감염시킨 것은 '고의'가 아니겠느냐는 추측이 흘러나온다.

모든 서버를 감염시킬 경우 피해 업체가 자포자기 상태에 빠져 협상 의지를 잃을 수 있다고 보고, 일부러 300대 서버 중 절반 정도만을 전략적으로 감염시켰을 수 있다는 추정이다.

한편 이번 조사 결과 피해 규모는 71대 웹호스팅 서버와 82대 서버호스팅 서버로 5천496개 홈페이지가 장애를 겪었다. 이날 미래부와 KISA는 제2차 민·관 협의회를 개최해 대응현황을 공유하고 재발방지 대책을 논의했다.

김국배기자 vermeer@inews24.com



공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.

alert

댓글 쓰기 제목 인터넷나야나, 관리자 계정정보 털렸다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기