인터넷나야나, 랜섬웨어 피해 주중 복구 어려울 듯

랜섬웨어에 감염당한 호스팅업체 인터넷나야나가 주중 피해를 복구하기 어려울 전망이다. 어젯밤 해커와 복구 비용 협상을 마쳤지만 150대의 서버를 대상으로 복호화를 진행하는 작업에만 최장 사흘이 걸릴 것으로 예상되고 있다.

인터넷나야나는 지난 14일 오후 10시께 6차공지를 통해 서버복구 준비 및 복구 과정을 안내했다. 그에 따르면 회사는 오늘(15일)부터 데이터 복구 작업을 준비한다. 해커와 협상한 수만큼 비트코인을 사서 송금하고, 복호화키를 받아 암호화된 서버를 복호화하는 과정을 앞둔 상태다.

황칠홍 인터넷나야나 대표는 공지를 통해 "새로운 서버를 구축하여 랜섬웨어에 감염된 서버의 파일을 옮기고 복호화키 값을 이용하여 복호화를 하고, 자료에 위험한 파일이 없는지에 무결성 검사를 한 후 다시 새로운 서버를 세팅하여 자료를 이전하고 복구하는 작업"이라고 설명했다.

이어 "내일(15일)부터 150대의 서버를 준비하여 작업 진행을 준비하고 스케줄을 잡아 작업을 진행할 예정"이라며 "암호화된 파일을 서버 단위로 복호화하는 시간이 1~3일 정도 소요될 것으로 예상하여 복구까지는 시간이 더 필요할 수 있으니 조금만 더 기다려 달라"고 덧붙였다.

인터넷나야나는 지난 10일 에레보스 또는 에레버스(Erebus)라는 이름의 랜섬웨어에 공격을 당했다. 이로 인해 회사 리눅스 서버 300대 중 153대를 감염당했고, 호스팅 이용 고객 홈페이지 3천여곳의 원본 및 백업 데이터가 무단 암호화돼 자체 복구 불능 상태에 빠졌다.

해커는 최초 복구 비용으로 약 50억원(서버당 10비트코인, 즉 1530비트코인)을, 이후 약 27억원 수준을 요구했다. 인터넷나야나가 이를 지불할 능력이 없다며 협상을 진행하자 약 18억원, 이후 13억원 가량(397.6비트코인)으로 요구 금액을 낮췄다. 회사는 이 비용을 마련 중이다.

15일 현재 인터넷나야나가 서버 복호화를 시작하기 위한 선결 과제는 회사의 자금 조달, 비트코인 송금, 해커의 복호화키 제공, 그 유효성 확인 등이다. 일단 이 과정이 하루이틀안에 마무리될 것인지 불확실하고, 되더라도 복구 절차의 물리적인 예상 소요기간이 하루에서 사흘이다.

인터넷나야나가 해커에 비트코인을 송금하고 복호화 키를 받아 암호화된 파일을 서버 단위로 무사히 복호화 하더라도 복구가 끝난 게 아니다. 개별 호스팅 이용자들이 사이트를 재가동하든 타사 호스팅으로 이전하든 할 수 있어야 한다. 이게 얼마나 걸릴지는 알 수 없다.

개별 이용자의 사이트 복구를 위한 후속 작업 소요기간과 일정은 별도 공지될 전망이다. 황 대표는 지난밤 공지에서 "랜섬웨어 감염으로 인해 피해를 보신 많은 고객님께 다시 한번 머리 숙여 사과 말씀 드린다"며 "자세한 일정이나 내용은 별도로 공지하도록 하겠다"고 밝혔다.

(15일 오후 2시 추가함)

인터넷나야나 측은 15일 낮 12시 24분 7차 공지를 통해 후속 작업 상황을 안내했다.

회사는 총 3차로 나눠 비트코인을 매입 후 송금하고 그에 상응하는 복호화 키를 받기로 했다. 현재 1차분 비트코인을 송금했고 복호화 키를 받는 중이다. 오늘중 회사 지분을 담보로 추가 자금을 확보해 2차, 3차 비트코인을 송금할 예정이다.

비트코인 송금과 복호화 키 제공 단위에 맞춰 서버 준비와 복구 작업 단위도 3차로 나뉘었다.

복호화 키를 받고 있는 1차 복구 대상은 현재 서버 준비 후 작업을 시작해 최소 1~3일, 최장 2주 이상 기간에 걸쳐 복구될 예정이다. 2차, 3차 복구 대상은 이르면 내일(16일) 서버를 준비해 역시 향후 최장 2주간 복구될 예정이다.

관련기사

인터넷나야나는 가능한한 복구 이후 웹호스팅 사업을 지속 운영할 전망이다.

황칠홍 대표는 "회사의 경영권 인수의사를 밝혔던 업체에서 회생의 기회를 주기로 하여 협상 비용만 차입하고 운영은 인터넷나야나의 임직원이 그대로 할 수 있게 되었다"며 "도움을 주신 업계관계자분들께도 감사의 말씀 드린다"고 덧붙였다.