코리아IDC 공격 해커 서버 당 2.1비트코인 요구...해커와 거래 또 시작하나?

코리아IDC 공격자가 서버당 2.1비트코인(약 1540만원)을 요구했다. 현재 랜섬웨어 감염서버 9개 중 7개 서버 분량은 복구가 불분명한 상태다. 업체가 최대 14.7비트코인(약 1억780만원규모)에 달하는 규모 협상을 전개할지 촉각이 쏠린다.

15일 보안업계에 따르면, 코리아IDC에 랜섬웨어를 공격한 해커가 서버당 2.1비트코인을 요구했다. 15일 오전 기준 비트코인 시세가 약 770만원대인 것을 감안하면 서버 당 약 1540만원 수준이다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

보안업계 관계자는 “코리아IDC 랜섬웨어 파일 안에 있는 메일주소로 (시범삼아) 메일을 보냈다”며 “답신에서 해커가 서버당 2.1비트코인을 요구했다”고 전했다.

코리아IDC와 한국인터넷진흥원(KISA)에 따르면, 현재 랜섬웨어에 감염당한 서버 9개(도메인 기준 118개) 중 2개는 일부 도메인을 제외하고 복구됐다. 나머지 7개 서버는 현재 복구 여부가 불투명한 상태다.

코리아IDC 관계자는 “9개 서버 중 2개 서버는 고객사가 데이터를 가지고 있어 복원했다”며 “나머지 7개 서버는 현재 업체에서 확인하고 있는 상태”라고 밝혔다.

인터넷나야나 이후 해커와 협상이 다시 일어날 가능성이 짙어졌다. 복구가 불가능한 서버가 7대인 것을 감안하면 14.7비트코인(약 1억780만원규모)에 달하는 규모 협상이 전개될 가능성도 배제할 수 없다. 단 이번에는 개별업체가 나서 협상을 진행해야 할 것으로 보인다. 랜섬웨어 공지를 올린 코리아IDC는 해당 서버 관리 주체가 아니기 때문이다. 코리아IDC 관계자는 “코리아IDC는 랜섬웨어 감염 서버 관리 주체가 아니기 때문에 이후 상황에 관여하지 않는다”고 말했다.

코리아IDC 랜섬웨어에 감염당한 업체는 웹 에이전시 업체와 쇼핑몰 등이 있는 것으로 알려졌다. 백업 데이터가 없으면 해커에게 복호화 키를 받는 것 외에는 데이터를 복구할 방법이 없다.

해커는 인터넷나야나 랜섬웨어 침해사고때보다 높은 몸값을 불렀다. 인터넷나야나는 153대 서버에 397.6비트코인(당시 시세 기준 약 13억원)을 납부했다. 서버당 약 2.6비트코인이다. 당시 시세 기준 약 850만원이다.

현재 KISA와 경찰청에서 코리아IDC 랜섬웨어 침해사고 조사·수사를 이어가지만 최초 침해경로는 아직 밝혀지지 않은 상황이다. 업체가 해커와 협상을 이어간다해도 제재할 방안이 마땅찮다.

KISA 관계자는 “업체가 공격자와 협상을 벌인다해도 마땅한 제재방안은 현재 없다”며 “랜섬웨어 최초 침해경로와 공격자를 잡기위해 조사·수사를 이어가겠다”고 밝혔다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com