백업서버 랜섬웨어 오염 땐 파일 일일이 확인해야
보안업계 "완전 복구까진 상당한 시간 걸릴 듯"

13일 서울 영등포구 예스24 본사에서 직원들이 오가고 있다. 뉴스1

지난 9일 랜섬웨어 감염으로 서비스 장애를 겪고 있는 예스24가 일주일 가까이 시스템 완전 복구에 성공하지 못하면서 소비자 불편이 이어지는 가운데, 보안업계 일부에서 예스24의 완전 서비스 복구에 상당한 시간이 걸릴 거라는 예측이 조심스럽게 나온다.

15일 기준 예스24 홈페이지는 마이페이지, 통합검색 등 일부 서비스가 정상적으로 작동하지 않고 있다. 도서 및 음반·DVD 구매와 주문 결제, 티켓 구매 서비스 등은 이용 가능하지만, 매장상품 검색과 리뷰 검색 등 서비스는 복구가 지연되고 있다.

일부 보안 전문가들은 예스24 서비스의 완전 복구에 시간이 걸릴 것이라고 보고 있다. 며칠 사이 예스24 측의 입장도 미묘하게 바뀌었다. 예스24는 13일 홈페이지 입장문에서 "도서 및 음반·DVD 구매와 주문 결제, 티켓 서비스 등은 이용 가능하며 매장상품 검색과 리뷰 검색 등 통합 검색 서비스 등 일부 이용이 어려운 서비스는 순차적 복구 작업을 진행하고 있다"고 밝혔다. 앞서 11일 "늦어도 15일까지 정상화될 것으로 예상한다"고 말했던 것과 달리 시스템 정상화 예정 시점을 밝히지 않았다.

당시 예스24는 입장문을 통해 "서버 백업이 완료되어 있어 이를 바탕으로 복구 작업을 진행하고 있다"고 안내했만 이조차 순조롭지 않다는 것이 보안 전문가들의 지적이다. 통상 메인 서버가 랜섬웨어에 감염됐다면 백업 서버까지 해킹의 직·간접 영향권에 들 수 있는데, 예스24의 백업 서버가 오염됐다면 복구에 소요되는 시간은 가늠하기 어렵다. 백업 서버에 저장된 파일을 불러와 본 서버를 복구하는 과정에서 랜섬웨어에 감염됐는지를 일일이 확인하는 것이 안전하기 때문이다.

보통 해커들이 서버를 공격할 때, 복구를 어렵게 하기 위해 본 서버에 랜섬웨어에 감염된 직후 작동하게 하기보다는 백업 시스템까지 전파한 후 작동하도록 작동 시간을 일정 시간 지체하는, 이른바 '시한폭탄'식 공격을 하는 것으로 알려져있다. 임종인 고려대 정보보호대학원 석좌교수는 "(이런 경우) 백업 시스템을 이용해 일괄 복구할 수 없기 때문에 (전체 복구에) 시간이 지체될 수밖엔 없다"고 말했다.

예스24가 한국인터넷진흥원(KISA)에 뒤늦게 기술지원을 요청했지만 KISA 역시 뾰족한 수가 없을 거라는 전망도 나온다. 임 교수는 "랜섬웨어에 감염됐을 때 백신이 있지만 악성코드도 계속 변종이 나오기 때문에 정작 복구되는 랜섬웨어는 많지 않다"며 "KISA가 할 수 있는 조치에는 한계가 있을 것"이라고 짚었다. 그러면서 "사이버안보기본법을 제정해 체계적인 조치를 마련해야 한다"고 강조했다.

김진욱 기자 kimjinuk@hankookilbo.com

Copyright © 한국일보. 무단전재 및 재배포 금지.