- 세번째 랜섬웨어 공격, 무역회사에서 소셜미디어플랫폼을 구축하는 프로젝트를 진행할 때였다. 세번째 랜섬웨어 공격은 AWS 클라우드의 EC2 인스턴스 중 웹서버를 감염시켰고 소셜미디어플랫폼의 설계이기 때문에 캐싱이 잘되어서 인지 랜섬웨어 감염 후 구동되고 나서도 글 읽기는 잘 되었고 새 컨텐츠를 올릴 수 없다는 연락을 받고 그제서야 알게 되었다.

- 회사 내부에서 쓰다가 외부로 공개하기 위한 소셜미디어플랫폼 구축이었다. 전세계에 법인이 진출해 있는 무역회사다 보니 내부 솔루션 개발이지만 다국어 지원을 기본으로 탑재하였다. 아울러, 한국 본사 직원이 아닌 해외지사의 보안 상황을 모두 커버하기 어려운 상황이었다.

- 상황 발생 당시 조사에 따르면 중국 지사일 가능성이 높았다. 중국 지사는 검열이 있다고 하여 인프라를 따로 구축하고 외부 연동을 통해 동기화 하는 등의 불필요한 방법등이 적용되었고 그곳에 취약점이 생길 가능성이 높았다.

- 이상 보고를 받고 바로 조치를 시작했다. AWS EC2 인스턴스를 즉시 삭제하였다. 스냅샷된 자료로 복구할 필요는 없었고 새 인스턴스에 배포만 다시 하여 즉시 서비스를 복구했다. 총 복구 시간은 감염 보고 직후 약 38분 정도 소요 되었다. 38분에서 상황 파악하는 데 걸린 시간이 대부분이었고 서비스 원상 복구에 걸린 시간은 더 짧았다.

- 지금은 이미 클라우드가 트렌드나 대세에서 필수로 바뀐 시대지만 당시에는 CTO가 클라우드 인프라를 믿지 못하고 간만 보는 상황이었다. 기존 시스템들은 여전히 온프레미스 환경이었다. 마치 자율주행 전기차가 자동 주차하는 시대에 내비게이션과 에어컨도 없고 수동 기어에 창문을 손잡이 돌려서 열어야 하는 자동차를 몰고 있는 상황이었다.

회사에서 전략적으로 추진하는 소셜미디어플랫폼이었기에 이번이 기회다 생각하고 클라우드 인프라를 적극 추천하였고 그러한 결정이 하마터면 심각한 사태가 될 뻔한 이벤트를 방어할 수 있었다.

- 예스24 사태가 심각해 보였으나 다행히 지금은 정상 복구 된 듯 하다. (https://lnkd.in/gyuyrbPq)

- 다시한번 되새기게 되는 교훈은 '랜섬웨어에 대비하는 방법은 오직 꾸준하고 성실한 백업 뿐이다.'

=== 연재 ===

[랜섬웨어극복기] ① 시스템이 랜섬웨어에 걸렸다? 우리 회사 다시 살아날 수 있을까?

[랜섬웨어극복기] ② 경험이 나를 살린다. 매출 500억 짜리 글로벌 이커머스 플랫폼, 랜섬웨어 감염 후 하루 만에 정상 운영(복구에 4시간 소요는 안비밀)

[랜섬웨어극복기] ③ 대세는 이미 클라우드지만 유행 아닌 필수일 수 밖에 없는 경험담. (랜섬웨어로 터진 시스템 40분만에 복구)