지난번 QNAP도 뭔가 뚫려서 시끌시끌했던 것 같은데, 이번에 ASUSTOR 쪽도 대형 사고가 터졌습니다. 개인 사용자들의 NAS를 대상으로 한 데드볼트 랜섬웨어 공격에 꽤 많은 피해자들이 나왔습니다. 이게 모든 NAS 대상인지 일부 NAS 대상인지는 아직 확실치 않은데, 몇몇 모델들에 피해 사례가 집중되고 있는 상태인 듯 합니다. 당장 이걸 당하면, NAS 안의 데이터가 모조리 암호화되어 인질이 되는데, 요구 금액은 0.03 비트코인 정도입니다. QNAP의 경우에는 비슷한 공격에서 제조사에 복호화 키로 50 비트코인을 요구했는데, 이번엔 그냥 개개인에게 소소하게 뜯으려나 싶기도 합니다.
어느날 갑자기 당한 사용자들은 난리가 났는데.... 뭐 일단은 당하신 분들은 당장 NAS를 끄고 기술지원 쪽으로 연락을 달라고 합니다만 이게 국내에도 해당되는지는 확실치 않습니다. 이미 Reddit 페이지와 공식 포럼 쪽에서 대응 상황에 대한 쓰레드가 올라가고 있습니다. 그리고 현재 사용중인 유저들은 클라우드 서비스 쪽으로 백업을 빨리 진행하라는 이야기도 있군요. 클라우드든 로컬이든 중요한 데이터는 백업 대비를 해 둘 필요가 있겠습니다. 원드라이브나 구글 드라이브 유료 플랜의 경우 랜섬을 맞아도 버전관리나 스냅샷 등으로 복구의 가능성이 남기도 하는데, 정상적으로 데이터 탈출에 성공했다면 얼른 연결을 끊는 게 확실할 겁니다.
일단 ASUSTOR 쪽의 공식 입장으로는...자체 DDNS 서비스와 EZ Connect 서비스를 끄고, 터미널/SSH, SFTP 서비스를 끄고, 기본 웹 접근 포트를 잘 알려진 포트 번호가 아닌 임의의 포트로 바꾸는 것을 추천하며, 백업도 빨리 받으라고 하네요. 그리고 피해를 당한 경우에는 초기화하지 말고 얼른 인터넷 연결을 끊고 NAS를 셧다운한 다음 별도의 링크로 기술지원을 요청하라고 합니다.
이제 저는 NAS를 사용하지 않고 있지만...예전 시놀로지 5.x 때는 취약점이 뚫려서 저도 모르게 NAS가 채굴 머신이 되어 있던 시절도 있었습니다. 그 때도 결국 데이터 백업 간신히 받고 전체 초기화를 했었죠. 여기저기서 NAS를 공인IP에 직접 물리는 것을 고집하시는 분들을 많이 보는데...예전 데이터센터에서 미크로틱 라우터 쓰던 시절도 그렇고 꽤 위험부담이 큰 일입니다. 역시 제일 안전한 건 외부로 VPN 포트 한 개만 열어두고 내부에서만 쓰거나, 아니면 상단에 공유기를 두고 사설 포트 몇 개만 열고 쓰거나 하는 것이 아닐까 합니다. 터미널 같은 건 절대 외부로 열면 안되는 것이죠...
덧글