- 세번째 랜섬웨어 공격, 무역회사에서 소셜미디어플랫폼을 구축하는 프로젝트를 진행할 때였다. 세번째 랜섬웨어 공격은 AWS 클라우드의 EC2 인스턴스 중 웹서버를 감염시켰고 소셜미디어플랫폼의 설계이기 때문에 캐싱이 잘되어서 인지 랜섬웨어 감염 후 구동되고 나서도 글 읽기는 잘 되었고 새 컨텐츠를 올릴 수 없다는 연락을 받고 그제서야 알게 되었다.

- 회사 내부에서 쓰다가 외부로 공개하기 위한 소셜미디어플랫폼 구축이었다. 전세계에 법인이 진출해 있는 무역회사다 보니 내부 솔루션 개발이지만 다국어 지원을 기본으로 탑재하였다. 아울러, 한국 본사 직원이 아닌 해외지사의 보안 상황을 모두 커버하기 어려운 상황이었다.

- 상황 발생 당시 조사에 따르면 중국 지사일 가능성이 높았다. 중국 지사는 검열이 있다고 하여 인프라를 따로 구축하고 외부 연동을 통해 동기화 하는 등의 불필요한 방법등이 적용되었고 그곳에 취약점이 생길 가능성이 높았다.

- 이상 보고를 받고 바로 조치를 시작했다. AWS EC2 인스턴스를 즉시 삭제하였다. 스냅샷된 자료로 복구할 필요는 없었고 새 인스턴스에 배포만 다시 하여 즉시 서비스를 복구했다. 총 복구 시간은 감염 보고 직후 약 38분 정도 소요 되었다. 38분에서 상황 파악하는 데 걸린 시간이 대부분이었고 서비스 원상 복구에 걸린 시간은 더 짧았다.