코리아IDC 문자열 포함 신규 랜섬웨어 발견...맞춤형 공격 농후

코리아IDC 고객사 추정의 랜섬웨어 피해 글과 리눅스 기반의 신규 랜섬웨어 발견
리눅스 기반 신규 랜섬웨어, koreaidc 문자열 포함돼...코리아IDC노린 맞춤공격 농후

[보안뉴스 김경애 기자] 코리아IDC에서 랜섬웨어 피해 발생에 이어 코리아IDC 고객사로 추정되는 랜섬웨어 피해 글이 웹상에 올라왔다. 더군다나 koreaidc라는 문자열이 포함된 리눅스 기반의 신규 랜섬웨어까지 발견돼, 코리아IDC를 타깃으로 한 맞춤형 공격에 이목이 집중되고 있다.

▲코리아IDC에서 올린 랜섬웨어 피해 공지(위)와 수정(아래)화면[이미지=홈페이지]

본지가 코리아IDC 랜섬웨어 감염 사건을 보도한 건 지난 6일 저녁 7시 56분이다. 당시 코리아IDC에서는 코리아IDC를 이용 중인 서버호스팅 및 로코케이션의 일부서버가 2017년 11월 06일 03시 전후로 ‘랜섬웨어 (enc ransomware)’가 발생했다고 공지했다. 그런데 그 이후에 ‘랜섬웨어 (enc ransomware)’를 ‘TrueCrypter ransomware’가 발생되었다’고 공지사항을 수정했다.

그리고 코리아IDC와 관련된 리눅스 기반의 랜섬웨어가 새롭게 발견됐다. 기존에 알려지지 않은 새로운 랜섬웨어이며, ‘koreaidc’라는 문자열이 포함된 것으로 분석됐다.

따라서 코리아IDC가 수정한 공지사항은 파일 확장자를 enc로 바꾼다는 점에서 기존에 알려진 ‘TrueCryter 랜섬웨어’외에 추가로 새롭게 발견됐거나, 정확히 분석되지 않은 상태에서 공지했을 가능성이 크다.

이와 관련해 한국인터넷진흥원은 피해 예방을 위해 해당 악성코드 샘플을 국내 주요 보안업체와 공유한 상태이며, 랜섬웨어 피해에 노출되지 않도록 주의를 당부했다. 이번에 koreaidc 문자열이 포함된 리눅스 기반의 신규 랜섬웨어가 발견됨에 따라 이번 사건은 코리아IDC를 겨냥한 맞춤형 공격일 가능성이 크다.

▲코리아IDC서버 이용자로 보이는 글 캡처화면[이미지=보안뉴스]

더군다나 지난 7일 해당 쇼핑몰 관계자로 보이는 인터넷 질문 글이 올라오고 있어 피해 기업도 많을 것으로 예상된다. 인터넷에 올라온 해당 글에는 ‘웹호스팅 업체 독립물을 운영중이며, 서버는 코리아IDC(나야나)에서 서버를 사용중’이라고 밝히며, ‘엊그제(5일 추정) 서버업체(코리아IDC)가 랜섬웨어에 걸려 쇼핑몰이 날라갔다’는 내용이 담겨있다.

이에 대해 코리아IDC는 “8일 고객사 접수 내역을 토대로 최종 확인결과 9대에서 랜섬웨어 피해가 발생했다”며 “이번 사고의 예상으로는 인가된 IP가 아닌 어디서든지 서버에 접근 가능하게 구성된 서버가 랜섬웨어 감염 대상”이라고 예측했다. 또한 해당 서버의 커널 및 Bash, Openssh 및 기타 어플리케이션 업데이트가 진행되지 않은 것이 특징이라고 덧붙였다.

하지만 지난 6월 발생한 인터넷나야나 사건때 153대 서버가 공격당했지만 최대 5,500여개로 추정(정부 발표 중간 조사결과)되는 홈페이지가 핸섬웨어에 감염됐던 것을 상기하면, 이번 피해역시 9개 서버에 불과하다 해도 피해를 입은 홈페이지의 수는 더 증가할 가능성이 높다.

이에 따라 코리아IDC는 추가로 랜섬웨어 피해 예방 방법으로 공지했다.
1. 특수문자를 사용해 서버 패스워드를 주기적으로 변경해야 한다.
2. 리눅스와 윈도우 모두 인가된 IP에서만 서버에 접근하도록 설정해야 한다.
3. 리눅스, 윈도우 모두 OTP 등의 별도의 패스워드 인증방법을 도입하는 것이 바람직하다.
4. 커널, BASH, OPENSSH, 기타, 어플리케이션에 대해 웹취약점 점검과 서버 업데이트를 진행할 것을 당부했다.
5. 서버의 데이터는 주기적으로 외부백업을 하거나 유료백업 서비스를 받아 진행할 것을 권장했다.

따라서 기업에서의 보안담당자와 서버 관리자, 그리고 코리아IDC 고객사를 비롯해 웹사이트 이용자들은 새롭게 등장한 랜섬웨어 감염에 피해를 입지 않도록 서버 점검과 악성코드 점검, 취약점 점검 등 보안에 각별히 신경써야 한다. 개인 이용자는 백신과 프로그램 등과 같은 각종 소프트웨어, 그리고 윈도우와 같은 OS 운영체제 등은 최신버전으로 업데이트해 유지하는 것이 바람직하다.

[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)