마루웹호스팅, 공격자와 협상에도 데이터 복구 '차질'

[아이뉴스24 최은정 기자] 최근 랜섬웨어에 감염된 웹호스팅 업체 '마루웹호스팅'이 공격자와 협상에도 불구하고 일부 데이터 복구에 어려움을 겪고 있는 것으로 나타났다.

마루웹호스팅은 지난 23일 자사 웹사이트 안내문을 통해 서버 복구에 문제가 생겼다고 밝혔다. 서버·파일 등 100% 복구에 차질을 겪으면서 관련 업체의 피해도 우려되는 상황.

해당 안내문에는 "지난 17일 저녁 서버 침해 사고가 일어난 후 공격자와 협상을 통해 서버 복구에 최선의 노력을 다했다"며 "협상 하에 전체 서버 중 90% 정도는 복구가 완료됐다"고 안내했다.

이어 "데이터 혹은 데이터베이스(DB) 쿼리 부분의 망실 등 피해가 남아 있는 상황"이라며 "고객께서 보관하고 계신 원본파일이나 백업파일을 당사에 주시면 이를 활용해서 복구해 드릴 것"이라고 덧붙였다.

마루웹호스팅은 지난주 랜섬웨어 피해 사실을 한국인터넷진흥원(KISA)에 신고했으나 아직까지 정확한 피해 규모 등은 밝히지 않고 있다.

앞서 2017년 랜섬웨어 공격을 당했던 또 다른 웹호스팅 업체 인터넷나야나도 당시 일부 서버·파일 복구에는 실패했다.

인터넷나야나는 감염된 153대 리눅스 서버 등을 되돌리기 위해 해커에게 13억원에 달하는 암호화폐를 지불한 바 있다. 하지만 해커가 만든 복호화 프로그램 오류 등 이유로 일부 서버를 완벽히 복구하지 못했다는 게 회사 측 설명이다.

일부 보안 전문가들은 이번 마루웹호스팅 사건도 인터넷나야나 때와 비슷할 것으로 전망하고 있다.

특히 한 보안 전문 연구원은 해커에게 복호화 금액을 지불했음에도 일부 데이터가 유실되는 상황에 대해 세 가지 시나리오로 설명했다.

그는 "만약 서구권 해커가 특정 언어로 제작한 랜섬웨어로 공격을 감행했다면 한글 자료들은 제대로 암호화되지 않았을 수 있다"며 "이는 가령 영어 등 서구권 언어는 한글과 언어 구조가 달라 문자 코드도 다르게 생성되기 때문"이라고 설명했다.

이어 "암호화가 확실히 되지 않으면 복호화도 완벽히 되기 힘들다"며 "호스팅 서버에 있는 자료 중 파일명이 영어로 된 파일은 복구가 됐어도 한글로 된 파일은 복구가 힘들 것"이라고 추측했다.

또 랜섬웨어 자체에 존재하는 버그로 인한 경우도 있다는 주장이다.

그는 "랜섬웨어는 해커가 만드는 일종의 프로그램인데 여기에 버그가 있어 제대로 작동 하지 못하기도 한다"며 "이로 인해 암호화·복호화가 어려울 수 있다"고 말했다.

마지막으로 서버·데이터가 암호화되는 시점에 파일이 하드디스크에 저장이 되지 않은 상황도 있다.

그는 "가령 업무 문서를 작성하는 도중에 암호화가 진행됐다면 저장된 데이터 까지만 암호화돼 복호화시 일부가 유실될 수 있다"고 덧붙였다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사도 "랜섬웨어 버그 혹은 PC의 일시적 문제 등으로 데이터베이스(DB) 암호화 과정에서 파일이 깨지는 경우가 있다"며 "때문에 일부 파일 등은 정상적으로 복구가 힘들 수 있다"고 강조했다.

약 10% 서버 복구 어려워