[디지털투데이 박근모 기자] IDC 서비스를 제공하는 '코리아IDC'가 랜섬웨어에 감염됐다. 코리아IDC는 지난 5월 랜섬웨어에 감염돼 해커에게 13억원을 지불한 국내 웹호스팅 업체 인터넷나야나의 IDC서비스다.

코리아IDC는 리눅스 운영체제(OS) 환경의 서버를 운영하고 있었지만, 지난 인터넷나야나 사고 당시와 유사한 리눅스 OS 타깃형 랜섬웨어에 감염된 것으로 확인돼 이에 대한 대비가 필요하다고 국내 보안 업계에서는 입모아 주장하고 있다.

IDC 서비스는 인터넷 데이터 센터(Internet Data Center)를 의미하며, 인터넷 연결을 위한 서버, 네트워크 회선 등을 제공하는 것을 말한다. 업체는 고객에게 인터넷 인프라만을 제공하며, 고객이 모든 관리 권한을 갖게 된다.

지난 6일 코리아IDC는 자사의 서버호스팅 및 코로케이션 일부 서버가 새벽 3시 전후 랜섬웨어에 감염됐다며, 한국인터넷진흥원(KISA)에 신고 후 조사를 진행 중이라고 밝혔다.

KISA에 따르면 '트루크립터(TrueCrypter)'라는 신종 랜섬웨어에 감염됐으며, 암호화 확장자는 '*.enc'로 표시된다. 특히 코리아IDC가 운영 중인 서버 9대, 100여개의 홈페이지가 감염된 것으로 확인됐다.

최상명 하우리 CERT 실장은 "현재까지 확인된 정보에 따르면 코리아IDC가 감염된 트로크립터 랜섬웨어는 국내외 어디에서도 보고되지 않았던 신종 랜섬웨어"라며 "이번 랜섬웨어는 리눅스 OS만을 대상으로 하고 있다"고 말했다.

글로벌 보안업체 소포스가 지난달 24일 발표한 '2018 멀웨어 예측 보고서'에 따르면 이전까지는 랜섬웨어가 주로 윈도 시스템을 공격했지만, 최근 6개월간(2017년 4월 1일~2017년 10월 3일) 조사 결과 리눅스, 맥 OS, 안드로이드, iOS 등 OS나 플랫폼 상관없이 랜섬웨어 공격이 늘어나고 있는 것으로 나타났다.

코리아IDC 측은 "해당 랜섬웨어가 시큐어셸(SSH)에 접속을 시도했으며, SSH 접속이 인가된 서버가 랜섬웨어 공격 대상인 것으로 보인다"라며 "고객사들은 인가된 IP에서만 서버에 접근이 가능하도록 설정을 해 달라"고 전했다.

트루크립터 랜섬웨어는 리눅스 OS가 탑재된 서버만을 타깃한 표적 공격으로 보안 업계에 따르면 공격자가 관리자 권한을 획득 후 아이디와 비밀번호를 대입하는 방식으로 진행됐다. 특히 이번 랜섬웨어는 내부 소스 코드 분석 결과 'koreaidc'라는 문자열이 포함된 것으로 분석돼 코리아IDC의 리눅스 서버를 표적 공격했을 가능성이 커지고 있다.

최상명 실장은 "현재까지 트루크립터는 어디에서도 발견된 적이 없고, 내부에 koreaidc라는 문자열이 들어간 만큼 코리아IDC를 타깃한 공격이 유력하다"라며 "리눅스 OS를 타깃한 랜섬웨어는 국내에서 거의 발견된 적이 없는 만큼 추후 유사한 공격이 발생했을때 빠른 대응이 어려울 수 있다"고 설명했다.

리눅스 OS의 경우 오픈소스 기반으로 만들어졌다. 때문에 업체들마다 종류나 버전이 각기 달라 이에 대한 맞춤형 보안 솔루션을 고객이 직접 구축하기는 어려운 상황이다.

특히 국내에서 발견된 리눅스 OS를 타깃으로 한 랜섬웨어는 인터넷나야나를 감염시킨 에레버스와 MOTD 등 극 소수에 달하며 대부분 윈도 OS 기반의 랜섬웨어가 주를 이뤘다.

인터넷나야나 사고 발생 이후 리눅스 OS를 타깃으로 한 랜섬웨어가 증가하고 있으며, 이번 코리아IDC 사고는 시발점이 될 수 있다는 의견도 나오고 있다.

최상명 실장은 "해외에서도 리눅스 기반의 랜섬웨어는 윈도에 비하면 거의 없는 상황"이라며 "인터넷나야나 이후 리눅스 OS를 타깃한 공격으로 막대한 합의금이 지불된만큼 해커들이 호스팅이나 IDC 서비스 등 리눅스 OS를 사용하는 업체를 대상으로 본격적인 랜섬웨어 공격에 나설 수 있다"라며 대응책 마련을 해야 한다고 강조했다.