랜섬웨어 공격으로 인해 사이트의 데이터가 소실된 경우 임시 복구 방법

7

나야나 사태처럼 웹호스팅 서버가 랜섬웨어 공격으로 인해 데이터가 모두 소실된 경우 백업본이 없으면 사실상 그대로 복구하는 것은 불가능할 것입니다.

대신 Happist님이 올린 다음 글에서 소개한 https://web.archive.org/라는 사이트에 백업된 자료를 활용해볼 수 있을 것입니다.

경우에 따라서는 과거 자료가 https://web.archive.org/에 저장되어 있지 않을 수도 있습니다. 사이트의 규모가 크지 않다면 복사하여 붙여넣기 하는 방식으로 어느 정도 복구가 가능할 것으로 생각됩니다.

인터넷나야나는 지난 10일 오전 1시 30분경 랜섬웨어 공격을 받아서 절반 이상이 랜섬웨어 공격 피해를 입은 것으로 파악되고 있습니다. 백업서버까지 공격을 받아서 현재 복원이 현실적으로 어려운 상황에 놓여 있는 것 같습니다.

나야나는 새로운 공지사항을 통해 랜섬웨어 공격자와 협상을 벌이고 있다고 공개했습니다.

나야나 공지사항

웹호스팅업체에서 랜섬웨어 복구 비용 마련을 위해 대출 및 자금 확보에 힘쓰고 있다고 하네요.

내용을 살펴보면 모든 서버에 대한 비용으로 550비트코인을 요구하고 있는 것 같습니다. 감염된 전체 서버는 153대이며 처음에는 서버당 10비트코인이었다가 이후에 5.4비트코인으로 낮추었다가, 현재는 전체 서버에 대해 550비트코인으로 더 낮아졌습니다.

(비트코인이 먼 나라 이야기인 줄 알았는데, 이런 식으로 악용되네요.)

영문을 살펴보면 어법도 맞지 않고 그렇네요. 피싱 메일의 특징 중 하나가 어법에 맞지 않는 영문으로 메시지가 작성되어 온다는 점인데, 아마 러시아 등 영어를 사용하지 않는 나라에서 피싱메일을 보내거나 랜섬웨어 공격을 많이 하는 것과 관련이 있지 않나 추정해봅니다.

문제는 돈을 지불해도 복구가 안 될 가능성도 있다는 점입니다. 노모어랜섬 사이트(https://www.nomoreransom.org/co/index.html)에 의하면:

랜섬웨어 감염시 원칙적으로 해커에게 돈을 지불해서는 안됩니다. 비용을 지불한다고 해서 암호를 해제해줄 복호화 키를 받는다는 보장이 없고, 오히려 해커에게 랜섬웨어가 잘 동작한다는 사실만 확인시켜줄 뿐입니다.

결국 돈을 지불하게 되면 랜섬웨어가 장사가 된다는 것을 확인시켜주어서 더 큰 부작용이 따를 것 같습니다. 아무도 돈을 지불하지 않는다면 이런 공격은 사라지겠죠. 하지만 피해자의 입장에서는 지푸라기라도 잡고 싶은 심정일 것입니다. 이런 피해자들의 절박한 심정을 악용하는 이런 범죄는 사라져야 하는데... 안타까울 뿐이네요.

나야나가 해커가 요구하는 162만 달러(한화로 약 18억 3천만원)를 구할 수 있는가도 문제이고, 설사 돈을 지불하고 데이터를 복구해도 한번 땅에 떨어진 평판 때문에 사업을 지속할 수 있을지도 알 수 없는 상황 같습니다.

오늘 나야나에 웹호스팅을 맡겼다가 사이트가 털린 한 분이 전화로 연락해왔습니다. 작년에 카페24에서 보부상이라는 테마로 사이트를 만들었지만 사이트 속도가 너무 느려서 보부상에 문의해보니 자기네 호스팅으로 이전하면 속도가 빨라질 것이라고 하여 나야나로 이전했던 분입니다. 비용도 훨씬 더 비싼 웹호스팅으로 울며겨자식으로 바꾸었다가 이번에 이런 일을 당했으니 많이 속 상했을 것 같습니다. 다시 카페24로 바꾸려고 하는 것 같습니다. 그리고 보부상 테마도 언제 지원이 중단될지 몰라서 AvadaThe 7으로 다시 사이트를 제작한다고 하네요.

이번 랜섬웨어 공격으로 인해 억대 프로젝트가 좌초될 위기에 처했다는 분도 계시고, 어떤 인터넷 전자신문은 데이터가 모두 날아가는 바람에 데이터 복구가 안 되면 서비스 존속 자체가 불투명하다는 이야기도 들리네요. 부디 문제가 잘 해결되어 피해가 최소화되었으면 좋겠습니다.

참고:

7 개 댓글

  1. 저도 보부상테마 때문에 나야나로 옮겼던 사람 중 한사람으로써 이번 일을 통하여 많은 것을 배웠습니다.

    이번 사태가 터진 직후엔 큰 상실감에 빠졌었고 원망도 많이 했습니다.
    다시는 나야나를 이용하지 않겠다고 다짐을 하고 또 다짐을 했었죠.

    하지만 본사에 찾아가 차장님과 이야기를 나누며 생각을 고쳐먹었습니다.

    물론 나야나의 안전불감증으로
    발생된 사건이지만, 직원들 역시 피해업체들 만큼이나 절박하고 애처롭더라구요... 회사가 파산하더라도 고객데이터는 살려야겠다는 마인드가 행동에서 고스란히 느껴졌었어요.

    16억짜리 수업을 받았으니 좀 더 나은 보안의식을 가지고 관리해 줄 거라 믿습니다.

    내일이면 복구 중간결과를 공지해주기로 했으니 설레는 마음으로 기다려 봐야겠네요 ㅎㅎ

    • korbuddy님은 너무 마음이 좋으셔서 호스팅업체의 입장까지 배려해주시네요.

      어떤 사용자는 사이트 접속이 안 되면 하루 손실이 엄청난 경우도 있더군요. 그런 경우에는 가능한 빨리 호스팅 업체를 옮기고 백업 데이터를 가지고 사이트를 복구하거나 임시 사이트라도 만들어서 장사를 해야 손실을 조금이라도 줄일 수 있을 것 같습니다. 어떤 사용자는 이 때문에 소송까지 준비하는 것 같기도 하고요. (소송해도 약관 때문에 승소할 가능성은 별로 없을 것 같습니다만...)

      • 답글 감사합니다!
        저는 금일 서버 복구 완료 되었네요^^ 한시름 덜었습니다!
        서버 안정화 작업이 필요하다고는 하지만
        현재까지는 오류라던지 문제점을 찾지 못했습니다 ㅎㅎ

        다른분들도 어서 빨리 복구되길 소망합니다!

      • 복구되었다니 정말 다행이네요.

        다음 달이 되어야 전체 서버 복구가 가능하다고 나야나에서 공지를 올렸던데, Korbuddy님 사이트는 다행히 먼저 복구가 되었나 보네요.

        다른 분들도 빨리 복구되었으면 좋겠습니다.

  2. 이제 나야나와 해커와의 협상이 타결된 것 같습니다.

    오늘 올라온 나야나 공지입니다.

    고객님들의 이익을 최우선적으로 보호하기 위해서 지속적으로 해커와 협상을 진행하여 타결하였습니다.
    13억 정도의 비용을 지불하여 복호화키 값을 받기로 하였습니다.

    해커가 제시한 비용은 인수 제안을 하였던 업체를 통해 지분을 담보로 마련하기로 하였습니다.

    현재 이체한도 증액, 비트코인 환전 등 비용지불을 위한 절차를 진행하고 있으며
    키를 받는대로 각 서버별 상세한 복원 일정에 대해 공지하도록 하겠습니다.

    해커가 제대로 된 복호화키를 보내줄 지 장담할 수는 없지만 해커도 장사를 위해 올바른 복호화키를 보내주지 않을까 생각되네요.

    하지만 해커에게 돈을 지불하는 협상을 하여 나쁜 선례를 남겼다는 비판이 일 것으로 보입니다. 이 때문에 더 많은 해커들이 우리나라를 타겟으로 할 가능성이 더욱 높아질 지도 모른다는 우려가 있는 것 같습니다. 한편으로는 이 방법 외에는 데이터를 복구할 방법이 없다는 점을 감안하면 어쩔 수 없는 선택으로 보여지기도 하고요. 어쨌든 이번 사건을 계기로 기업들이 보안에 더욱 투자를 많이 하여 보안을 강화했으면 좋겠습니다.

  3. 한 데이터 복구 업체가 어떤 고객의 의뢰를 받아서 자체적으로 하나를 복구했다고 하네요(비트코인을 지불하고서...). B088433451711A652F5B1035807EAF6D이 Machine ID인 경우 연락하면 복호화키를 공유해준다고 합니다.

    https://m.blog.naver.com/cisco0602/221026493313

  4. 참고로 약관에 다음과 같이 면책 조항이 있네요.

    제11조 ( 고객의 의무 )
    1. 고객은 회사가 정한 서비스 이용요금을 지정된 일자에 납입할 의무가 있습니다.
    2. 고객은 회사의 동의 없이 회사가 제공하는 서비스를 제3자에게 제공하여서는 안 됩니다.
    3. 고객은 회사와 타 고객의 서비스 운영에 방해가 되는 행위를 하지 않아야 합니다.
    4. 고객은 자신이 운영 중인 서비스의 데이터 등에 대해 별도로 저장할 의무가 있으며 외부 침입 등으로 인한 정보의 유출, 누락 또는 자료의 손실에 대해 회사는 책임을 지지 않습니다. 단, 회사가 해당 자료를 백업하여 별도로 보관 중인 경우에는 복구 시 도움을 줄 수 있으며, 백업자료가 없는 경우에는 회사는 책임을 지지 않습니다.

    그리고...

    제32조 (면책)
    5. 불법적인 침입으로 인해 발생한 고객의 설비 및 정보에 대한 손해는 배상하지 아니 합니다.

    사실 위와 같은 조항은 거의 모든 웹호스팅 서비스 업체에 포함되어 있을 것 같습니다.

    옛날에 나야나에서 나온 사람이 미리내 호스팅 운영한다는 말이 있네요. 양쪽 두 운영자 모두 형제 사이라는 말이 있는데 미리내 호스팅은 이번 피해를 입지 않았다고 하네요.ㅎㅎ

댓글 남기기

Please enter your comment!
Please enter your name here