8월 2일 사건 인지, 해커와 협상-서버 교체-KISA 신고 등 과정...감염 서버는 KISA가 회수
한국출판인회의, 8월 14일 간담회 진행...“출판업계 데이터 보안 전반을 되짚어볼 때”

[보안뉴스 김영명 기자] 출판물류 소프트웨어 개발기업 모아시스에서 지난 1일 랜섬웨어 해킹 사고가 발생한 이후 2주가 흘렀다. 모아시스 형남석 대표는 최근 홈페이지를 통해 ‘랜섬웨어 사태 이후 어떤 조치를 취했는지 경과보고를 했다. 현재 모아시스 주문·배송 시스템 복구는 거의 마무리됐으며, 감염된 서버를 교체하고 새로운 서버를 운영하고 있다고 밝혔다.


▲모아시스가 8월 1일 해킹 사고 이후 지금까지 데이터복구 및 수습 과정을 안내했다[자료=모아시스 홈페이지]

모아시스 측은 이번 사고와 조치 과정을 시간 순서대로 소개했다. 8월 1일 11시 50분 랜섬웨어 공격을 받은 것으로부터 시작됐다. 그 이후 8월 2일 6시경 사건 발생을 인지했으며, 같은 날 10시에는 데이터복구 전문업체를 통해 해커와의 협상을 시작했다. 8월 5일에는 긴급 서버를 설치했고, 서버를 교체하며 보관해뒀던 2022년 3월 기준의 DB를 다시 세팅했다. 8월 7일에는 사이버수사대와 한국인터넷진흥원(KISA)에 해킹 공격을 신고했고, 8월 8일에 사이버수사대에서 현장 점검을 나왔으며, 8월 9일에는 KISA에서 감염된 서버를 회수했다.

모아시스는 전산 업무 효율을 높이기 위해 개선작업을 해왔지만 주문·배송 프로그램은 최신 버전, 데이터베이스(DB)는 구버전이라는 구조적 불일치로 오류가 이어졌다. 이에 따라 해당 오류를 바로잡기 위한 개선 작업을 아직까지도 진행하고 있다고 밝혔다.

DB 복구 전문가는 이번에 감염된 랜섬웨어가 신종 랜섬웨어로 복구 프로그램이 공개되기까지는 다소 시일이 걸릴 수 있다고 했다. 이에 따라 프로그램 오류 개선과 데이터 복구를 동시에 진행하고 있다고 설명했다.

모아시스 형남석 대표는 “이번 사태의 원인은 저의 안일한 보안인식에 있고, 해킹 방지를 위한 보안정책, 긴급대응, 매뉴얼의 중요성을 아우르지 못한 실책”이라며 “IDC센터와 협의해 ‘망분리 백업 작업-백업 후 연결 차단’, ‘24시간 감시시스템’, ‘방화벽’을 강화한 새로운 서버를 운영 중”이라고 말했다.

한편, 한국출판인회의는 8월 14일에 출판사, 물류사, 모아시스 직원 등 출판물 주문·배송 사건 관계자들이 모인 가운데 간담회를 개최하고 신속한 대응방안을 논의했다. 한국출판인회의 소속 회원사는 정회원과 준회원을 포함해 700여개가 된다고 밝혔다. 하지만 이번 사고 피해 기업은 한국출판인회의 소속이 아닌 영세 출판사도 다수 있어 정확한 피해 규모를 측정하기는 힘든 상황이다.

이번 간담회에 참석한 한 출판사 대표는 “출판사 입장에서 출고 데이터 등을 별도로 백업하는 것이 중요하다”며 “완벽한 보안이 어렵다면 다중 백업 시스템을 갖추는 등 보완 대책을 모색할 때”라고 강조했다. 하지만 기존에 모아시스의 프로그램을 사용하던 기업에서 새로운 시스템을 신속하게 도입해서 사용하기에는 비용 부담과 함께 사용환경 등 여러 측면에서 해결해야 할 과제가 산적해 있다.

간담회를 주최한 한국출판인회의 측은 “이번 해킹 사고를 기점으로 출판업계 전반의 데이터 보안 문제를 되짚어봐야 할 것”이라며 “업계가 협력해 이번 해킹 사고 해결에 힘을 모으고 후속조치에 관한 정보들을 꾸준히 공유할 계획”이라고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>