코리아 IDC, 지난 인터넷나야나 사건당시 랜섬웨어 업로드 거점으로 활용
확장자를 ‘.enc’로 바꾸는 ‘TrueCrypter’ 랜섬웨어에 감염된 듯

[보안뉴스 원병철 기자] 인터넷나야나의 랜섬웨어 침해사고 조사가 아직 완벽하게 이뤄지지 않은 가운데, 인터넷나야나의 IDC 사업부가 운영하는 서버 전문 브랜드 ‘KOREA IDC(이하 코리아 IDC)’가 랜섬웨어에 감염된 것으로 알려져 충격을 주고 있다.


▲ 확장자를 .enc로 바꾸는 TrueCrypter 랜섬웨어[자료=울지않는 벌새]

코리아 IDC는 지난 인터넷나야나 사건 당시 인터넷나야나 홈페이지와 함께 해킹되어 랜섬웨어 등 악성코드 6종이 업로드 되는 등 거점으로 활용된 곳이다. 특히, 해커들은 게이트웨이 서버를 경유, 153대에 원격 접속해 코리아IDC 웹서버에 업로드 된 랜섬웨어 악성코드를 다운받아 설치 및 실행한 것으로 분석됐다. 다만 최초 침투를 위해 관리자 권한을 획득하는 데 필요한 정보를 탈취하는 과정은 상세분석을 진행 중이라고 중간수사결과 발표 때 미래부(현 과기정통부)는 밝힌 바 있다.

문제는 아직까지 인터넷나야나와 코리아 IDC를 정부에서 수사 중이라는 사실이다. 아직까지 수사가 완료되지 않아 미래부와 KISA, 경찰이 함께 수사를 진행 중인 상황에서 추가로 다시 랜섬웨어에 감염됐다는 사실은 분명 문제가 있어 보인다.

한편, 코리아 IDC가 감염된 랜섬웨어는 2016년 5월 발견된 ‘TrueCrypter’ 랜섬웨어로 보인다. 아마존 기프트 카드 결제기능이 추가된 TrueCrypter 랜섬웨어는 확장자를 ‘.enc’로 바꾸는 것으로 알려졌다. 코리아 IDC가 밝힌 ‘enc 랜섬웨어’는 아마도 정확한 랜섬웨어의 종류를 확인하지 못하고 확장자만 확인한 것으로 보인다. 인터넷나야나 당시 감염됐던 랜섬웨어는 ‘에레보스(Erebus)’ 랜섬웨어로 알려졌다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>