"먹통이 되어버린 어플리케이션과 블로그"
어플리케이션을 하나 운영하고 있습니다. 로또 번호를 분석할 수 있는 앱이었는데, 개발자인 제가 직접 쓰기위해 만든 어플리케이션입니다.
2017년 6월 10일 어느때와 다름 없이 로또를 하기 위해 어플리케이션을 열었는데 먹통이 되어버린 로또 어플리케이션.
"분명 문제가 없었는데, 왜 그럴까?"
하는 생각으로 제가 운영하고 있는 로또 블로그에 접속했습니다. 그런데 이상하게도 블로그 역시 데이터가 나오지 않은 것을 확인하였고,
그 때는 단순한 오류라고만 생각했었고 집에 가면 확인해야지 라는 생각을 하였습니다.
"알지 못하는 페이지가 열리는 나의 사이트"
집에 돌아온 저는 오류가 난 어플리케이션과 블로그를 수정하기 위하여 저의 홈페이지를 확인하였습니다.
< 내가 알던 페이지는 이 페이지가 아닌데?>
해당 주소로 접근을 하면 보여야할 저의 컨텐츠 대신 알지못하는 페이지가 뜨는 것을 확인하였습니다.
"이건 뭐지? 문서, 사진, 데이터베이스, 파일들이 암호화 되었다고?"
"암호화 되어버린 나의 파일들"
웹 페이지를 확인 한 후 바로 호스팅 업체에 저의 계정을 통하여 FTP에 접근해 보았습니다.
"응? ecrypt 확장자를 가지고 있는 이 파일들은 뭐지?"
저의 호스팅 서버의 저장소에는 알수 없는 ecrypt의 확장자를 가진 파일들과 index.html, _DECRYPT_FILE.html, _DECRYPT_FILE.txt 이 기본적으로 보이는 것을 확인 하였습니다. 물론 제가 올렸던 파일들은 보이지 않았습니다.
뭔가 잘못되었다라는 생각으로 해당 업체의 홈페이지에 들어갔습니다.
랜섬웨어에 감염..
네 맞습니다. 제가 사용하던 업체가 랜섬웨어의 피해를 받은것이었습니다.
제 계정에 있던 알 수 없는 암호화된 파일들은 랜섬웨어의 피해를 받은 거였습니다.
"랜섬웨어?"
랜섬웨어란 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어인데
시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫고 있습니다.
랜섬웨어는 2015년부터 발생하였으며 2016년 말 기준으로 160여 종의 바이러스가 있다고 하네요.
"크래커의 요구"
호스팅이 크래킹을 당했다라는 것은 분명 크래커에 요구가 있을 것이라는 생각을 했습니다.
크래커는 처음 50억을 비트코인으로 달라는 요구로 시작하였습니다.
그리고 호스팅 업체와의 협상을 통하여 금액이 내려갔고, 최종 금액은 13억으로 협상이 이루어졌습니다.
크래커와의 협상에 대하여 언론들은 참 많은 이야기를 했습니다.
"크래커와의 협상은 또 다른 피해를 만들 수 있다"
OR
"데이터를 살리는 것이 급선무 이다"
결국은 데이터를 살리는 쪽으로 선택을 하게 된거죠.
< 크래커와 협상 내용 중 일부 >
직원수와 서버에 대한 정보를 알고 있는 크래커
가장 짜증이 났던 부분은 "you need to face your childs" 라는 문구였습니다.
'꼭 그래야만 했냐!!!'
"어린 아이의 소망"
랜섬웨어 사건이 터진 후 관심있게 보고 있는 해당 호스팅의 커뮤니티 중
"안녕하세요."
라는 글을 읽게 되었습니다.
차마 댓글을 달지는 못하였으나,
힘내라는 말과, 지금 마음을 고이 간직하고 네가 생각하는대로 훌륭한 보안전문가가 되기를 바랄께..
그리고 이 글에 달리는 댓글들..
댓글에 올리는 분들은 랜섬웨어의 피해를 입으신 분들일 것입니다.
분노에 차있을 것이며 생계에 큰 위험을 받으신 분들도 있을 것이라는 생각을 해봅니다.
하지만 댓글에서 희망이 느껴지는 것에 참 감사하더군요.
"랜섬웨어가 퍼지는 경로?"
아직 조사중인지, 경로가 밝혀졌는지 모르겠으나 원인이 Samba 냐는 질문에 호스팅 업체는 아래와 같이 답변을 달았습니다.
안랩? 이스트소프트? 이면 백신 아닌가요?
이게 사실인지는 모르겠으나, 사실이라면 크나큰 문제가 아니겠습니까??
백신 프로그램에서 부터 바이러스가 퍼졌다니요...
"기나긴 복구 기간"
해당 업체에서는 크래커와의 협상을 완료 한 후 복구 작업이 진행중에 있습니다.
업체에서 처음 나왔던 복구 기간은 17일 기준으로 [차주 다음주 - 전체 복구 대상의 90% 이상 정상화] 으로 공지를 띄었지만
최근에 나온 공지에서는 더 지연 될 것으로 예상한다는 공지가 나오더군요.
제가 이용중인 서버 역시 복구중에 있는데 하루속히 복구가 이루어졌으면 좋겠네요.
"갈수록 늘어가는 피해"
시간이 흐를 수록 해당 업체의 호스팅의 사용자들은 크게 두 분류로 나누게 되었는데요.
응원의 메시지를 날리는 분들도 계시지만 당장 생업이, 혹은 회사에 다니는 직원들의 불만도 나타나고 있습니다.
응대를 이렇게 못하냐라는 목소리와, 복구가 늦어지기에 늘어나는 불만과, 불안, 짜증들이 섞인 목소리가 나타나고 있습니다.
어쩔 수 없는 현상이지요.
크래커와 거래하였던 13억이 끝이 아니었던 겁니다.
해당 업체는 일단락 13억에 매듭지었지만 업체를 유지하고 있는 사용자들의 피해를 계산 했을 시 그 피해는
복구가 늦어지면 늦어질 수록 커질 수 밖에 없는 것 같습니다.
피해를 소송으로 해결하려는 분들도 계시는데요. 악순환의 고리가 돌고 돌것 같군요..
"크래킹, 피해가 커질 수 밖에 없는 원인은 무엇이었을까?"
이번 크래킹이 크나큰 문제를 일으키는 원인은 무엇이 있을까요?
일단은 고객에 대한 응대에 고객들이 불만이 많았던 것으로 보입니다.
고객은 오늘, 내일 하고 있는데, 해당 업체에서는 응대보다 더 중요한건 빠른 시일안으로 데이터를 복원하는 일이 가장 큰 문제였을 것 이니까요.
응대도 중요하지만 빨리 상황을 해결하는 것이, 또한 원인을 빠르게 파악한 후 정확한 정보를 고객들에게 전달해주는 것이 그 업체가 할 수 있는
최선의 방법이라고 생각했을 테니까요. 하지만 밀려오는 문의, 클레임 로 인하여 마비가 될 수 밖에 없을 것입니다.
하지만 이것은 일이 발생한 후에 이야기입니다.
이 사건이 커질 수 밖에 없는 이유의 뿌리를 찾아가면 결국은 "데이터 복원이 늦다" 라는 것입니다.
왜 데이터 복원이 늦어졌을까요?
분명 데이터 백업도 잘 했을 것이고, 백업 이후의 데이터가 날아가더라도 백업을 복원시켰을 시 20년동안 모와두었던 데이터를 복원시켰을텐데요.
소송도 있겠지만, 그래도 이렇게 커지지는 않았을텐데 말이죠.
문제는 백업 데이터가 같은 서버에 있었다는 점이었습니다.
바이러스라는게 하나의 파일로 끝나지 않고 번진다는 것을 감안하였을 때, 백업데이터는 당연히 다른 서버에 저장을 시키는 것이 맞습니다.
하지만 그 것 까지는 미쳐 생각을 못했나봅니다. 혹은 "설마 해킹을 당하겠어?" 라는 안일한 생각에 보안의 허점을 보인 것은 아닐까? 하는 생각도 해봅니다.
"IT 강국 그리고 보안에 대하여"
한국하면 생각나는게 "IT 강국" 입니다.
과연 한국은 어떻게 IT 강국이라는 타이틀을 가지게 되었을까요?
단지 인터넷 연결 속도 세계 1위에 오르고 5세대 이동통신망도 전 세계에서 가장 앞서 나갈 정도의 인프라를 자랑해서? 정보기술을 다루는 능력이 특출나기 때문에?
그렇다면 그 많은 정보들을 다루는데 있어서 보안은 어떻게 하고 있나요? 과연 보안에 대해서도 강국일까? 라는 의문에는
이번 사건을 통하여 IT강국 코리아의 민낯을 절실하게 드러내는 사건이 아닐까? 하는 생각을 해봅니다.
이미 부끄럽지만 한국은 크래커들의 호구로 전략했다고 봅니다..
100% 완벽한 보안은 없다고 생각합니다. 하지만 그에 대한 보안 기술이 계속 나와야하며 항상 언제 들어올지 모르는 크랙킹에 항상 대비를 해야 진정 IT 강국이라는 타이틀을 유지 할 수 있을 것이라 생각합니다.
"전하는 메시지"
저도 피해자에 속합니다. 어플리케이션에 가입했던 많은 유저분들이 있었고, 각자의 데이터를 저장하였습니다.
블로그에 찾아오시는 분들은 허탕을 치고 돌아갈 수 밖에 없는 상황입니다.
복구 시간이 지연될 수록 다른 호스팅에 눈이 갈 수 밖에 없습니다.
다들 어떻게 생각하실지는 모르겠지만, 저는 제 나름 생각하고 현실을 직시하며,
하루 빨리 데이터가 복구되기를 기대하고 있습니다. 또한 계속 유지하려 합니다.
그 이유는 해당 업체가 상황을 대처하는 본(本)을 보았기 때문입니다.
또한 크게 좌절하였다면 그만큼 강해질 것이고 더 탄탄해질 것이라 생각을 했기 때문입니다.
이번 사건으로 인한 문제의 끝이 복원이 완료되는 시점이 아닐 것입니다.
소송, 클레임 등 더 많은 난간에 부딪칠 것 입니다..
하지만 믿습니다.
그 난간 조차 끝내 이겨 내실 것을..
"이글을 마치며"
어쩌면 이번 사건은 IT에 직접적으로 종사하고 있는 저에게는 큰 이슈거리 다가왔습니다.
회사의 보안도 생각하게 되고, 제가 진행하고 있는 프로젝트에도 어떻게 보안을 신경 쓸 것인가? 하는 생각을 하게 되었습니다.
이번 사건이 다른 호스팅 업체에서 일어났다라고 한다면 무관심했을 지도 모를텐데..
잃어버린것도 있지만 그만큼 얻은 것도 있습니다.
잊고 지내던 블로그에 HackSecurity라는 메뉴를 만들고 이렇게 관련된 글을 쓰고,
보안에 대한 큰 경각심을 얻을 수 있었던 시간이었습니다.
보안에 대하여 아는것이 많지는 않지만, 조금씩이라도 글을 써내려가려합니다.