- 두번째 랜섬웨어 공격, 동남아 프로젝트를 진행할 때였다. 두번째 랜섬웨어 공격은 서비스 전방위 모두 타격을 입었다. 인프라부터 시작해서 모든 서버가 감염되었다.

- 인구가 무척 많기도 하고 그만큼 시스템에 대한 어뷰징 시도도 엄청나다. 시스템은 글로벌 이커머스 플랫폼이기 때문에 동남아 전역에 서비스를 배포할 수 있었고 인앱 서비스와 웹서비스, B2C를 위한 유틸리티 서비스도 많이 운영하였고 그만큼 어뷰징 방어에 많은 리소스가 들어갔고 일은 터졌다. 일어날 일은 일어난다.

- 한국에서는 왠만한 불법 위법을 하지 않는데 처벌이 강하기도 하고 실익이 없다. 그러나 동남아는 다르다. 불법 위법을 저지르고도 처벌이 안되는 경우도 많은 것 같다. 섬 국가인 경우 중앙본부와 지리적인 이슈로 치안이 그리 좋지 못한 듯 하다. 어뷰징은 계속 되었고 매번 새로운 어뷰징 시도를 새로운 방식으로 막아내며 서비스를 유지 했다.

- 대표와 투자진은 매출과 영업에만 몰두하였고 기술 인프라에는 거의 예산이 없었다. 스타트업이라는 미명하에 솔루션과 서비스를 출시하는 데에 집중하였고 대부분 빌린 소프트웨어, 오픈소스, 서버장비도 유효 연한 5년 넘은 중고 장비 중에서 최저가로 구입한 장비들이었다. (중고 장비에서 가장 큰 문제가 시스템 시간이 간헐적으로 틀리는 문제가 있었다. 이는 실제 서비스할 때 계산 오류, 환전 통화 이슈, 외부 보안 OTP 솔루션과의 연계 오류 등 많은 문제를 일으켰다.) 수많은 문제가 있었으나 솔루션과 서비스는 유연한 개발팀 덕분에 잘 운영되었고 해당 국가에서 동일 커머스 분야 2~5위를 오르내렸다. 보이는 부분과 보이지 않는 부분은 천지 차이다.

- 시스템 마비된 날부터 고생은 시작되었으나 역시 경험이 시스템을 살렸다. 온라인 오프라인 백업은 잘 유지되었다. 랜섬웨어로 유실된 데이터는 최소 4시간, 최대 2일치의 주문 데이터로 파악되었고 복구를 시작했다. 모든 서버를 즉시 폐기하고 스탠바이된 장비로 이중화 없이 단일 서버로 복구하여 가동을 시작했다. 개발팀 내에서 판단하였을 때 서비스는 가동 가능하며 약 4시간 동안 모든 단계를 마쳤다. 단 주문데이터 복구도 끝마쳤으나 검토에 하루 정도 시간이 걸렸고 이를 위해 재오픈을 하루 미뤘고 영업팀이 시간을 끌어주었다.

- 이후로 서버 장비는 즉시 보안 솔루션을 도입하였다. 그러나 일반 사용자들의 어뷰징은 계속 되었고 DDOS 공격과 유통 가능한 할인코드, 교환코드 등의 탈취 시도는 계속 되었다.

- 어뷰징 세력과 아이디어 싸움을 이어갔다. 교환코드를 복제하여 사용 시도한 것을 막기 위해 실시간 OTP 기능을 넣고, 코드 방식을 웹링크로 바꾸어 웹페이지에서 복호화가 성공해야만 화면이 보이도록 만들었다. 어뷰징 시도시에 커넥션을 일부러 30분씩 지연시켜 크랙킹 시도하는 컴퓨터의 리소스에 과부하를 유도하는 등 창의적인 공격과 방어가 계속되었다. 이는 마치 스포츠 경기하듯 승부욕을 자극했고 재미있었던 기억으로 남는다.

- 다시금 복기하게 되는 것이 랜섬웨어에 대비하는 방법은 오직 꾸준하고 성실한 백업 뿐이다.

=== 연재 ===

[랜섬웨어극복기] ① 시스템이 랜섬웨어에 걸렸다? 우리 회사 다시 살아날 수 있을까?

[랜섬웨어극복기] ② 경험이 나를 살린다. 매출 500억 짜리 글로벌 이커머스 플랫폼, 랜섬웨어 감염 후 하루 만에 정상 운영(복구에 4시간 소요는 안비밀)

[랜섬웨어극복기] ③ 대세는 이미 클라우드지만 유행 아닌 필수일 수 밖에 없는 경험담. (랜섬웨어로 터진 시스템 40분만에 복구)