미래창조과학부와 한국인터넷진흥원(KISA)은 지난 28일 경기도 정부과천청사 제2차 랜섬웨어 대응 민관협의회를 통해 인터넷나야나 대상 사이버침해사고조사 중간결과를 발표했다. 미래부는 해당 침해사고를 "중소인터넷기업을 대상으로 한 APT공격과 랜섬웨어 공격이 결합된 사고"라 지칭했다.
해커가 인터넷나야나를 해킹한 과정은 이렇게 요약됐다.
해커가 인터넷나야나 리눅스서버 원본 및 백업 데이터를 망가뜨리고 비트코인 요구를 하기 위해 진행한 공격 과정 전모. 최초 실마리인 계정정보 탈취 방법은 아직 확인되지 않았다. [자료=미래부]
해커는 미리 탈취한 계정정보를 사용, 인터넷나야나의 통신용 게이트웨이 서버 1대와 호스팅사업부 웹서버 1대를 해킹했다. 게이트웨이 서버를 인터넷나야나 웹호스팅 고객서버 153대에 우회 접속하기 위한 경유지로 썼다. 그리고 호스팅사업부 웹서버를 악성코드 유포지로 삼았다.
이로써 고객서버 153대에 랜섬웨어를 설치했다. 동시에 회사측의 자체 및 별도 백업서버 데이터를 복구 불가능한 수준으로 삭제했다. 이어 지난 10일 오전 1시를 기해 고객서버에 설치된 랜섬웨어를 일제히 실행, 고객서버의 데이터베이스(DB), 이미지, 프로그램 등 원본 데이터를 암호화했다.
백여대 넘는서버 동시 셧다운도 일입니다.
랙 전원 차단할게 아니라면. -_-;;;
법 강화가 필요합니다.
구글 otp같은거 쓴다해도 키가 탈취될정도의 수준같은데
어느정도 대기업아니면 그냥 자신이 타겟이 안되도록 기도를 하거나 해야할거같은데
저렇게 노리고 오는 집단에게 효과적인 보안 수단이 뭐가 있을까요?
이게 없었으면 저렇게 털리지는 않았을겁니다.
이건 지금 돌아가는 IT업계+나라가 문제죠 퇴근했어도 전화오면 원격 붙어서 작업... 회사일을 왜 밖에서 해야하는지...
사실 이렇게 할게 아니라 야간 인력이 별도로 있고, 서비스 네트워크와 업무 네트워크가 분리 되어있어야 하지요...
로그나 소스를 다 뒤져볼 것도 아니고...
바로 공격 하는 게 아니라 보안이 허술 해 지는 시점이나 목적 달성에 필요한 기능이 활성화 되는 시점 까지 모니터링 하면서 대기 하다가 피해를 극대화 할 수 있을 시점에 공격을 실행하는 방식을 많이 사용합니다.
탈취 여부 감지도 피하면서 공격이나 유사 행위를 하면 바로 알아챌 수 있으니 조용히 대기 하며 시나리오만 검증 하다가 어느 순간에 해킹을 하는 방식이라, 당하는 입장에서는 하루 아침에 너무나도 익숙하게 들어와서 목적한 바를 실수없이 빠르게 시도하는 로그 때문에 내부자 소행이 아니냐 라는 오해를 많이 받기도 합니다.