정부와 관계 기관이 서버를 공격한 해커 그룹에 협상금을 넘기고 데이터를 복구한 인터넷호스팅업체 ‘인터넷나야나’ 사태 재발 방지책 마련에 나선다. 소형 호스팅 업체라도 사이버 공격을 당하면 웹 사이트가 맞물린 다수의 기관과 기업이 피해를 본다는 점을 고려한 조처다.
김주영 한국인터넷진흥원(KISA) 개인정보대응센터장은 지난 25일 “현재는 호스팅 사업자에 법률적 의무를 부과하는데 약간의 제약이 있는 상황”이라며 “과학기술정보통신부를 중심으로 논의를 거쳐 관련법 개정을 통해 해결 방안을 찾기로 했다”고 밝혔다.
인터넷나야나는 지난 6월 랜섬웨어 ‘에레버스’ 공격을 받아 리눅스 운영체제(OS) 기반의 서버 300여대 가운데 153대가 감염됐다. 이에 따라 인터넷나야나의 서버와 연결된 웹 사이트 3,400여개가 피해를 보았다.
대응 과정에서 인터넷나야나는 랜섬웨어를 동원한 해커 그룹에 4일 만에 데이터 복구 비용으로 13억원 규모의 가상화폐 ‘비트코인’을 보내면서 우려를 낳았다. 국내에서 사이버 공격 피해 기업이 해커 그룹에 몸값을 넘긴 것은 사실상 첫 사례다. 인터넷나야나는 해커 그룹으로부터 암호화된 데이터를 풀 비밀번호를 받았지만 일부 데이터는 복구에 실패했다. 그런데도 해당 고객사가 호스팅 업체에 손해배상을 청구하거나 정식으로 피해를 보상받을 법적 근거는 아직 없는 상황이다. 호스팅 사업자의 허술한 서버 관리로 사이버 공격을 받았으나 애꿎은 고객사만 피해를 본 셈이다.
김 단장은 “인터넷나야나 사건을 겪으면서 아무리 영세한 호스팅 사업자라도 피해를 보았을 때 상당한 파급력을 미칠 수 있다는 점이 드러났다”면서 “(업체가) 책임을 질 수 있도록 하는 방안을 검토할 것”이라고 강조했다.
