국내 배달 대행업체로 유명한 슈퍼히어로 운영 서버 2대가 2021년 5월 14일 새벽 3시 50분경 해킹을 당했다는 소식입니다.
긴급 공지에 올라온 내용을 살펴보면 IDC센터에 입주해 있던 서버 2대가 미상의 해커로부터 2021년 5월 14일 (금) 새벽 시간에 랜섬웨어(Ransomware) 해킹을 당했으며 이로 인하여 관리자도 해당 서버에 접근할 수 없는 상황이라는 내용입니다.
해당 내용을 봐서는 랜섬웨어 공격이지만 실제 서버 내 파일 암호화 여부는 확인하지는 못한 것으로 보이며, 해커가 기존의 서버 관리자 권한 탈취를 통해 비밀번호를 변경하여 접근 자체를 할 수 없는 상태로 보입니다.
이에 따라 해커측에 연락을 해서 비트코인(Bitcoin) 송금을 하였지만 해커측으로부터 관리자 권한을 돌려받을 수 있는 정보 및 복구 관련된 어떠한 것도 받지 못한 것으로 보이며 어쩌면 먹튀 가능성도 존재해 보입니다.
간혹 랜섬웨어를 포함한 악성코드 중에서는 감염 후 신규 관리자 계정 생성과 함께 기존의 관리자 계정을 잠금 처리하여 접근할 수 없게하여 부팅 시 메시지를 통해 연락을 유도하는 경우가 있는 것으로 보이며, 단순히 관리자 계정만 잠구고 내부 데이터는 그대로 유지하고 있는지 아니면 데이터까지 암호화했느냐가 중요할 것으로 보입니다.
▷ <데이터넷> 탈취한 권한 이용해 악성코드 없이 공격하는 랜섬웨어 (2020.11.19)
실제로 KISA에서 공개한 보고서에 따르면 악성코드를 사용하지 않고 Windows 운영 체제에서 제공하는 BitLocker 보안 기능을 통해 디스크를 암호화한 후 돈을 요구하는 사례가 있다는 점에서 주목할 필요가 있습니다.
해외 정보에 따르면 랜섬웨어 공격을 한 해커에게 돈을 지불하고 복구키를 받아서 이전 상태로 복구를 진행할 경우 복구 속도가 매우 느릴 수 있다는 점과 8% 정도만 암호화된 데이터가 완벽하게 복구된다는 점을 언급하고 있습니다.
실제 최근에 Babuk Locker 랜섬웨어의 경우에는 파일 암호화 행위는 더 이상하지 않고 데이터 탈취를 통한 협박만 진행한다고 발표하였는데 그 이유가 피해 기업에서 돈을 지불해서 복구키를 제공해도 파일 복구 과정에서 속도 저하 및 복구 실패가 발생한다는 점을 언급하고 있습니다.
이번 슈퍼히어로 해킹 사고와 같이 중요 서버의 관리자 권한이 탈취될 경우 공격자는 돈만 받고 사라질 수도 있으며, 아니면 복구키를 받았지만 암호화된 데이터를 제대로 복구할 수 없는 문제로 결국에는 기존에 백업된 데이터가 없다면 서버 구축을 다시해야하는 엄청난 시간과 금전적 손실을 입게 될 수도 있습니다.
◐ 시스템 복구 완료 안내 (2021.5.16)
슈퍼히어로 업체는 2021년 5월 16일 (일) 새벽에 해커가 서버 복구에 필요한 키(Key)값을 전달해줘서 시스템 복구가 완료되었다는 공지를 공개하였습니다.
추가적으로 공개된 랜섬웨어 메시지 창은 CrySis 랜섬웨어로 확인되고 있으며, 해당 랜섬웨어는 공격자가 서버에서 원격 제어(RDP)를 허용할 경우 비밀번호를 뚫고 접근하여 랜섬웨어를 실행하는 방식으로 알려져 있습니다.
아마도 해당 업체에서 IDC에 위치한 서버 관리를 위해 원격 제어 서비스를 이용하면서 부실한 유추 가능한 계정명과 비밀번호 사용 등으로 인해 공격자가 서버 관리자 계정을 획득하였을 것으로 추정되며, CrySis 랜섬웨어는 Windows 폴더 내의 대다수 파일(.dll, .exe 등 포함)을 암호화하므로 공지처럼 완벽한 복구가 어려운 부분이 있을 수 있으므로 프로그램 재설치가 필요해 보입니다.
원격 제어 기능을 사용하실 때에는 기본적으로 관리자 계정은 유추 가능한 계정명을 사용하지 말고 비밀번호를 영문대소문자, 숫자, 특수문자가 포함된 최소 12자리 이상을 사용하며 기본 포트 번호 변경과 더불어 특정 IP에서만 접근할 수 있도록 보안 조치가 필요합니다.