인터넷나야나 랜섬웨어 공격은 지능형 지속위협(APT) 공격과 리눅스 랜섬웨어가 조합된 새로운 공격이라는 보고서가 나왔다. 호스팅 기업 스마일서브는 16일 보고서를 통해 이같이 밝히며 상세한 공격 방식을 설명했다.
나야나에서 공격 받은 서버는 150여대이며, 리눅스 운영체제이다. 그 중 절반이 웹호스팅 서버이고, 나머지 절반은 나야나 엔지니어가 관리하는 서버였다. 랜섬웨어 공격에 이용된 악성코드는 윈도우용 암호화 부분을 리눅스용으로 코딩한 것으로, 각 서버마다 올린 후 새벽 1시에 동시에 실행되도록 했다.
150대 서버에 개별적으로 접근했던 정황을 생각하면, 회사 내부 서버 관리자들끼리 공유하는 비밀번호 리스트를 공격자가 입수했을 것으로 추정되며, 관리자가 빠르게 대응할 수 없는 새벽 시간을 이용해 공격을 키운 것으로 보인다.
보고서를 작성한 김병철 스마일서브 대표는 “한국 표준시와 업무 취약시간을 잘 알고 있다는 점, 유려한 한국어가 아니라 초보 수준의 영어 작문을 직접 한 것으로 보인다는 점 등을 들어 필리핀이나 중국을 기반으로 한 보이스 피싱 조직과 연관있을 것”이라고 추정했다.
또한 백업 데이터까지 감염시킨 것을 보면, 호스팅 업계를 이해하거나 교과서적인 백업을 무력화시키는지 잘 아는 범죄자의 소행이라고 분석했다.
이 같은 정황을 근거로 보고서는 이번 사고는 회사 내부자의 소행이거나, 내부자 컴퓨터가 악성코드에 감염된 후 2차 공격을 당한 것, 혹은 접속이 허용된 외부 컴퓨터의 악성 코드 감염과 그로 인한 2차 감염일 가능성이 있다고 주장했다.
