예스24는 랜섬웨어에 왜 또 당했나?

By곽중희

첫 감염 후 2달 만에 재감염…KISA, 조사 착수
보안 전문가들이 본 재감염 원인은?

국내 최대 온라인서점 예스24가 두 달 만에 또다시 랜섬웨어에 감염됐다가 복구됐다. 지난 6월 9일 첫 감염으로 5일간 서비스가 중단된 데 이어, 지난 11일 새벽 4시 30분경 또 감염이 발생했다. 이번에는 백업 데이터를 활용해 약 7시간 만에 복구했지만, ‘보안 강화‘ 약속에도 재감염이 발생하면서 우려가 커지고 있다.

첫 감염 당시 예스24는 주요 데이터에 대한 오프사이트(클라우드 등 외부 저장소 또는 오프라인) 백업이 없었고, 결국 공격자와의 협상을 통해 서비스를 정상화했다. 당시 사고를 조사한 한국인터넷진흥원(KISA)은 “초동 대응이 투명하지 않고, 기술 지원에도 협조하지 않았다”며 ”오프사이트 백업도 없고 재감염 위험이 높다“고 비판한 바 있다.

예스24 관계자는 재감염과 관련해 “다시 한 번 이용에 불편을 드린 점 다시 한번 진심으로 사과드린다“며 “현재 KISA와 함께 사고 조사를 진행 중이며, 두 감염이 서로 연관이 있는지는 조사 결과가 나와야 알 수 있다”고 설명했다.

보안 전문가들은 예스24의 재감염 이유에 대해 다양한 원인을 짚고 있다. 크게는 ▲과거 공격 이력으로 인한 표적화 ▲복구 과정에서 남은 취약점과 잔존 악성코드 ▲운영체제·백업 시스템 등 기술적 한계 ▲사후 보안 조치 미흡 등이다.

“렌섬웨어, 협상에 응하면 해커들은 계속 노려“

보안 전문가들은 해커의 협상에 응하면 다른 해커들이 같은 표적을 반복해서 노리는 경향이 강하다고 분석한다.

안티랜섬웨어 전문 보안기업 체크멀 관계자는 “한 번 몸값을 지불한 전례가 알려지면 공격자들 사이에서 소문이 퍼져 표적이 되기 쉽다”며 “랜섬웨어가 서비스형(aaS) 형태로 유통되면서 특정 기업을 겨냥한 시도가 반복되는 구조”라고 설명했다.

이어 그는 백업 데이터 관리의 중요성을 피력했다. “백업 시스템이 있다고 해도 로컬에만 두면 무력화될 수 있다”며 “운영 서버와 같은 네트워크나 장비에 백업을 저장하면, 공격자가 침투했을 때 운영 데이터뿐 아니라 백업 데이터까지 함께 암호화하거나 삭제할 수 있다”고 덧붙였다.

아울러 “(예스24 2차 해킹의 경우) 지난 번보다 빠르게 복구된 것으로 보아, 백업 데이터가 살아있었을 가능성이 커 보인다“며 “백업은 물리적으로 분리된 저장소나 외부 클라우드, 오프라인 매체 등 오프사이트(Off-site) 환경에 보관하는 것이 안전하다”고 권고했다.

사후관리·운영상 허점이 재감염 키운다

사후관리 측면의 문제를 지적하는 시각도 있다. 각 보안 분야별 전문가들은 사후 조치 미흡, 시스템 환경 취약성, 보안 체계 한계를 각각 지적했다.

안티랜섬웨어 전문 보안기업 에브리존 관계자는 “예스24만의 문제가 아니다”며 “한 번 랜섬웨어에 감염된 기업이 재감염되는 사례가 생각보다 많다”고 설명했다.

이어 “복구 과정에서 내부 취약점을 방치한 채 운영을 재개하는 경우가 많다”며 “해커 커뮤니티에 공격 성공 사례가 공유되면 모방 공격이 잇따른다”고 분석했다. 아울러 “랜섬웨어 감염 후 백업과 복구만으로 끝내면 ‘보안 홀’은 그대로 남는다. 기업들이 이를 간과하는 것이 매우 아쉽다”고 덧붙였다.

안랩 관계자도 “초기 침투 경로와 공격자 흔적을 완전히 제거하지 않으면 동일한 수법으로 재침투가 가능하다”며 “내부 네트워크에 남아 있는 악성코드, 원격제어 도구, 탈취된 계정 정보 등이 재활용돼 재감염으로 이어질 수 있다”고 설명했다. 이어 “눈에 보이는 악성코드 삭제와 취약점 조치만으로 끝내지 말고, 계정 비밀번호 변경과 상시 모니터링 강화 등 사후관리가 필수”라고 덧붙였다.

엔드포인트 보안 컨설팅 업체 제이커넥트 관계자는 “랜섬웨어는 한 번 감염되면 악성코드가 PC나 서버에 남아 재감염을 유발할 수 있다”며 “사용자 행위 없이 자동 실행되는 파일 암호화나 백업 삭제 등을 실시간 차단하는 ‘선천 면역’ 개념을 적용하면 기존 취약점 재활용과 새로운 침투를 모두 줄일 수 있다”고 말했다. 단발성 대응이 아닌 상시적 감시 체계 구축이 필요하다는 것이다.

한편, KISA 관계자는 “예스24가 기술 지원에 동의해 조사를 진행 중”이라며 “6월 사고와의 연관성은 아직 단정할 수 없어, 결과가 나오면 발표할 예정”이라고 밝혔다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.