미래창조과학부와 한국인터넷진흥원(KISA)은 지난 28일 경기도 정부과천청사 제2차 랜섬웨어 대응 민관협의회를 통해 인터넷나야나 대상 사이버침해사고조사 중간결과를 발표했다. 미래부는 해당 침해사고를 "중소인터넷기업을 대상으로 한 APT공격과 랜섬웨어 공격이 결합된 사고"라 지칭했다.

해커가 인터넷나야나를 해킹한 과정은 이렇게 요약됐다.

해커가 인터넷나야나 리눅스서버 원본 및 백업 데이터를 망가뜨리고 비트코인 요구를 하기 위해 진행한 공격 과정 전모. 최초 실마리인 계정정보 탈취 방법은 아직 확인되지 않았다. [자료=미래부]

해커는 미리 탈취한 계정정보를 사용, 인터넷나야나의 통신용 게이트웨이 서버 1대와 호스팅사업부 웹서버 1대를 해킹했다. 게이트웨이 서버를 인터넷나야나 웹호스팅 고객서버 153대에 우회 접속하기 위한 경유지로 썼다. 그리고 호스팅사업부 웹서버를 악성코드 유포지로 삼았다.

이로써 고객서버 153대에 랜섬웨어를 설치했다. 동시에 회사측의 자체 및 별도 백업서버 데이터를 복구 불가능한 수준으로 삭제했다. 이어 지난 10일 오전 1시를 기해 고객서버에 설치된 랜섬웨어를 일제히 실행, 고객서버의 데이터베이스(DB), 이미지, 프로그램 등 원본 데이터를 암호화했다.