2017년 6월 10일 새벽 1시, 정상적으로 서비스하고 있던 한 웹사이트에 문제가 생긴다. 접속은 되지만 로그인이 되질 않고, 사이트에 있던 콘텐츠는 하나도 확인할 수가 없다. 더불어, 모든 메뉴는 404 에러 페이지로 연결되었다. 웹 호스팅 업체, 나야나 고객센터에 전화를 하더라도 관계자는 묵묵부답이다. 어렵사리 연락되었을 때, 나야나 관계자는 현재 이와 같은 문제를 고치기 위해 복구 중이라며, 확인하는 즉시 연락을 준다고 했다. 이후, 나야나 관계자와 두 번째로 연락이 되었을 때는 랜섬웨어에 감염되어 복구 중이라는 말을 하였다. 나야나 홈페이지에 있는 자유게시판에는 이와 같은 문제로 사용자들의 글로 인해 게시판이 도배되었다. 그리고 그날 밤 오전 3시가 넘어서야 인터넷나야나 사이트에는 랜섬웨어로 인해 복구 중이라는 공지사항이 그제야 떴다.^[1]

도메인, 호스팅 전문기업 나야나는 국내에서 16년이나 웹 호스팅, 도메인 분야로 자리매김하고 있는 전문적 인터넷 호스팅 서비스를 제공하는 업체다.^[2] 오래된 만큼 고객들과의 신뢰도도 두텁고 중견에 속하는 회사이기 때문에 나야나 서비스를 이용하고 있는 고객만 해도 상당하다. 도메인 같은 경우 국내는 국제인증 공인, 도메인등록기관으로 정해져 있다.^[3] 또한, 호스팅 역시 국내 최대 백본망에 의해 빠른 속도와 안정적으로 운영된다는 점에서 많은 이들이 서비스를 이용하고 있다.^[4]  특히나, 나야나 업체를 기술적으로 표현했을 때 다른 저가의 호스팅 업체보다 실시간으로 망분리 환경이나 백업 여부도 더 나은 비즈니스 모델을 제공하고 있어 고객에게도 어느 정도 인지도가 있는 편이다.^[5] 또한, 2000년 초반에 개인 홈페이지와 인터넷 쇼핑몰 시장이 커지면서 나야나 업체를 이용하는 고객도 더욱 많이 늘었다. 이런 이유로 적당한 규모의 업체이면서 많은 고객을 보유하고 있는 나야나 업체가 이번 랜섬웨어의 대상이 되지 않았나 생각한다.

그렇다면 왜 국내인가. 사실, 기업 규모나 더 크게 한탕을 치려면 국내보다는 미국기업이나 외국에 있는 더 큰 기업을 노리는 것이 더 낫지 않겠느냐는 생각이 들 수도 있다. 이러한 질문에 개인적인 생각을 덧붙이자면 지금 국내는 전자화폐가 상당히 열풍이다.^[6][7] 국내에서 전자화폐는 더욱 활발하게 거래되고 있어 마침 그 시기가 적절하게 겹쳤지 않았나 생각이 든다.^[8] 즉, 국내에서 전자화폐를 쉽게 구할 수 있다는 이야기다. 더군다나 전자화폐는 전 세계 공통으로 통용될 수밖에 없어, 이전에 돈을 요구한 것보다 랜섬웨어를 통해 전자화폐를 요구하는 것이 최근 악성코드의 추세다. 

미래창조과학부는 이번 나야나 랜섬웨어 사건을 지능형 지속 공격(APT)과 랜섬웨어 공격을 통해 특정 중소 인터넷 기업을 대상으로 한 공격이라고 보고 있다.^[9] 아직, 어떠한 경위로 공격자가 사전에 계정 정보를 탈취한 것인지는 밝혀지지는 않았다. 하지만 공격자는 탈취한 계정 정보를 이용하여 나야나 측의 서버에 침투하였고, 호스트 웹 서버에 침투하여 랜섬웨어 등 악성코드를 업로드 하였다. 이어서 침투한 나야나 측의 서버를 통해 153대 서버에 접속하였고, 호스트 웹 서버에 올려둔 랜섬웨어 등 악성코드를 다운받아 153대의 서버를 감염시켰다.^[10] 이때, 6월 10일 새벽 1시쯤을 지나는 시점이었다. 감염된 서버는 데이터베이스, 이미지, 프로그램 등 모든 데이터가 암호화되었다.^[11] 더불어, 공격자는 여기서 멈추지 않고 백업 서버에 침투하여 백업 데이터를 삭제하기도 했다. 

나야나 업체는 사건이 발생한 후, 공지를 통해 현재 상황과 협상 현황을 발표했다. 먼저, 나야나 측이 랜섬웨어 공격을 인지한 것은 6월 10일 새벽 1시경이었고, 이어 새벽 3시쯤 랜섬웨어에 감염되었다는 공지를 올렸다.^[12] 당시, 첫 번째 공지에는 백업 데이터가 남아있을 경우, 빠르게 복구할 것이라는 처지를 밝혔다. 이후, 이중백업을 했음에도, 데이터를 살리지 못할 것 같다는 말과 함께 암호화된 파일에 대해 공지를 했다.^[13] 사건이 발생한 지 4일째, 6월 14일경, 이번 사건에 대해 전체적인 사건 현황을 공개했다. Erebus 랜섬웨어로 인해 파일들이 감염되었으며 대상은 리눅스 서버로 이 때문에 감염된 서버의 수는 153대라고 밝혔다. 이를 해결하기 위해 공격자의 최초 요구 사항은 서버당 10비트 코인, 당시 약 서버당 3천만 원을 요구했다.^[14] 이어서 협상을 통해 서버당 5.4비트코인 약 2천만 원을 요구하였으며 계속해서 협상 중이라는 메시지를 남겼으며, 아래와 같이 공격자의 메시지를 그대로 공개했다.^[15]

My boss tell me, your buy many machine, give you good price 550 BTC
우리 보스가 말하길, 너희는 많은 기기를 갖고 있으며, 비트코인 550개면 합당한 가격이라고 본다.
If you do not havce enough money, you need make a loan
만약 돈이 없다면 대출을 받아라.
You company have 40+ employees, every employees’s annual salary $30,000
너의 회사는 40명이 넘는 직원을 데리고 있으며, 평균 연봉도 3만 달러는 될 것이라 본다.
all employees 30,000*40 = $1,200,000
all server 550BTC = $1,620,000
3만 달러 * 40명 = 120만 달러
550 비트코인 = 162만 달러
If you can’t pay that, you should go bankrupt.
만약 돈을 못 내겠으면 파산을 해라
But you need to face your childs, wife, customers and employees.
하지만 그렇게 된다면 너의 아이들과 부인, 고객, 직원 얼굴을 볼 수 있겠는가
Also your will lost your reputation, business.
또한, 너는 너의 평판과 명성을 모두 잃을 것이다.
You will get many more lawsuits.
너는 수많은 소송에 휘말릴 것이다.

이에 대해 나야나 측은 아래와 같은 메시지로 답변했다는 공지가 곧이어 올라왔다.^[16]

인터넷나야나 대표이사 황칠홍입니다.

우선 이번 사태로 인해 충격과 피해를 보신 모든 분들께 진심으로 사과 드립니다.

죄송합니다.

6월 10일 새벽1시 해커의 공격으로 인해 저희 회사의 모든 임직원이 멘붕에 가까운 어려움을 격다보니 대처가 미흡했습니다.

또한, 저희가 해결하려고 여러모로 분주하게 알아보고는 있으니 시간적인 한계와 저의 능력 부족으로 인해 여기까지 왔습니다.

해커와의 요구는 50억이었으나 협상을 통해 18억까지 진행된 상태입니다.

그러나 18억 원이라는 큰돈이 저에게는 없습니다. 현재 제가 백방으로 알아본 현금자산은 4억 원입니다.

저는 협상을 하면서 4억 원 이상을 제시할 수 없는 상황이었으며 어쩔 도리가 없어 4억을 제시한 상태입니다.

또한 한국인터넷진흥원과 사이버 수사대에서도 다각도로 복호화하는 방법에 대해 알아보고 있는 것으로 알고 있습니다.

저희 또한 국내외 여러 채널을 통해 복구할 수 있는 방법에 대해 알아보고는 있으나 시간적인 한 방법을 찾지 못하고 있습니다.

제가 해커에게 제시한 협상시간은 오늘 12시입니다. 왜냐하면 금일 24시가 되면 해커는 협상금액을 2배로 올리기로 했기 때문입니다.

12시까지 협상이 된다면 비트코인 환전과 송금 등을 하여 복구에 최선을 다 할 것입니다.

또한 제가 할 수 있는 금액인 4억을 제외하고 저희 회사의 모든 지분을 인수하는 조건으로 몇몇 업체에 제안을 하여 얼마까지 가능한지에 대한 법인지분매각도 함께 알아보았습니다.

어려운 상황이라 매각 또한 쉽지 않아 오늘까지 시간이 걸렸으며 8억까지는 가능하다는 답변은 오전9시30분에 받았습니다.

저는 12시까지의 협상시간이 지나면 저의 모든 융통 자산인 4억과 인수를 희망하는 업체의 금액 8억 원 총 12억 원으로 다시 해커와 협상을 진행 할 것입니다.

이 협상이 채결된다면 자료는 복구될 확률은 좀더 높아질 것이라 생각합니다.

피해를 보신 고객님께서 모두 힘드시겠지만 12시까지의 협상과 그 후 협상을 좀더 기다려 주셨으면 좋겠습니다.

자료복구만이 1차적인 해결이라 판단한 저의 선택이 맞는지는 모르겠으나 저는 이것이 저의 최선의 선택이라 생각합니다.

다시 한번 피해를 입으신 모든 고객님들께 죄송하다는 말씀 드립니다.

또한 피해가 없는 고객님들의 서버는 2차 피해가 없도록 저희와 사이버수사대, 한국인터넷진흥원 등 모든 분들과 협조하여 조치를 취하고 있습니다.

감사합니다.

————————————————————–
어제 저녁 마지막으로 해커와 접촉한 내용입니다.

안녕하세요 인터넷나야나 CEO 입니다.

이제 저는 파산합니다.
20년 동안 열심히 해온 모든 것들이 내일 12시면 사라질 것이라 예상되네요.

당신이 얼마에 만족하실지는 모르겠으나
없는 돈을 만들 수도 없고
당장 돈을 급하게 구한 나의 모든 돈이
한화4억 원(123bit)이니
당신과 더 좋은 협상을 할 수도 없습니다.
나도 당신이 원하는 550bit가 있었으면 좋겠다.
그 돈이 있다면 나는
나를 믿고 나에게 서비스를 맡겨준
많은 사람들의 자료라도 살릴 수 있을 텐데
이제는 뉴스와 각종 언론에 노출되어
회사를 사겠다는 사람도 없고
더 이상 구할 수 있는 돈도 없다.
누가 이런 회사사정을 알면서 나에게 돈을 빌려주겠는가?

이젠 당신이 한화4억 원(123bit)로 승인을 한다고 해도 나는 더 이상 회사를 살리지 못할 것이다.
왜냐하면
복구된다고 해도 고객의 소송이나 항의를 감당 할 수 없기 때문이다.
당신은 어떻게 되든 나의 좌절을 보게 될 것이다.

그럼에도 불구하고
나는 당신에게 부탁한다.

나의 좌절은 지켜보더라도
나의 소중한 고객의 자료만은 복구 할 수 있게 도와줘라.
한화4억 원(123bit)를 주겠다.
만약 복구를 할 수 있게 된다면
나는 좌절하겠지만
나의 고객은 다른 좋은 회사에서 다시 일어설수 있을 것이다.

당신이 정말 해커라면 이 정도는 해줘야 한다고 생각한다.
나는 나의 모든 것을 잃는다 해도

제발 부탁한다.
나의 고객들을 살수 있게 도와줘라.

내가 가진 모든 것이 한화4억 원(123bit)이다.

나야나는 공격자와 계속된 협상을 통해 13억 원에 최종합의를 봤다는 공고를 올렸다.^[17][18] 5,000여 업체에 피해를 줬으며, 정부 지원과 다른 여러 보안 업체의 지원에도 결국 해결안을 찾지 못해 공격자의 제안을 받아들인 것이다. 이러한 결론은 다른 한편으로 결국 공격자의 협박에 굴복한 것이므로 앞으로 국내 랜섬웨어가 더 기승을 부릴 것으로 예상하기도 했다.^[19][20]

그렇게 나야나는 공격자에게 13억 원을 주고 암호키를 받았지만 지금 거의 한 달이 다 되어가는 시점에서 아직 일부 자료 등이 복구가 안 될 것으로 확인되었다.^[21] 이 때문에 피해 업체의 반발도 거세지고 있지만, 이는 기술적인 문제 때문인 어려움으로 100% 복구는 힘들 것으로 보고 있다. 본래, 데이터 복구는 13억 원을 주고 암호키를 받는 순간 예정대로면 3주 만에 해결될 예정이었다. 하지만 서버에 있던 몇몇 파일들이 이미 파괴되어 복구하기 힘든 상황이다. 좀 더 자세히 이야기하면, 몇몇 파일은 복호화 프로그램에서 한글이 인식되지 않아 난항을 겪고 있으며, 최선을 다해 복구에 힘쓸 것이라는 이야기를 남겼다.^[22] 문제는 mu1번(218.145.**.245)와 no3번(218.145.**.159) 서버로 하드디스크 오류로 인해 랜섬웨어 침해 파일이 일부만 작동했던 서버들이었다. no3번(218.145.**.159) 서버는 복구 전문 업체의 도움으로 복구를 하더라도 100% 복구는 불가능으로 보고 있으며, mu1번 서버는 대부분의 파일복구가 불가능할 것으로 보고 있다.^[23]

어떻게 보면 오싹할 만한 사건이다. 방금 우리는 랜섬웨어로 인해 지난 16년간 이뤄온 하나의 회사가 무너질 뻔한 것을 본 것이다. 이번 사건으로 나야나의 늦은 대처는 여러 고객이 실망감을 감추지 못했던 것도 사실이다.^[24][25][26] 더불어, 조사결과 서버에 접근을 통제하는 기술이나 관리적인 측면에서 조치가 취약했고, 주요 서버에 접속할 수 있는 관리자의 PC가 자유롭게 인터넷에 접속할 수 있었다는 점에서 보안의식이 부족하기도 했다. 아울러 보안 정책이나 관리적 보안 측면에서도 해킹 공격에 대응할 방안이 부족했었다는 문제가 보였다.^[27] 하지만 이러한 문제가 과연 나야나만의 문제일까. 아니라고 본다. 단순히 나야나가 운이 나빠서 걸려든 것뿐이다. 필자가 하고 싶은 말은 기업을 운영하는 모든 이라면 이번 나야나 사건을 주목할 필요성이 있다는 것이다. 이번 사건에 나타난 문제점으로 대처할 방안을 분명히 생각해두어야 한다는 것이다. 당장, 내일 제2의 나야나 사건의 당사자가 나올 수도 있는 것이다.