#정보보호 #정보보안 #IT보안 #사이버보안

병실들마다 환자들과 사망자들로 채워지고, 의료 기계도 못 쉬고 의료인들도 탈진하는 때였다. 정상인이라면 멀리서라도 응원이나 기도라도 할 텐데, ‘오, 심봤다’를 외치는 부류들이 있었다. 게다가 이런 사람들은 실행력마저 좋았다. 그래서 모두가 코로나에 집중할 때, 병원 네트워크는 계속되는 폭격을 맞고 있었다.

[보안뉴스 문가용 기자] 의료 기관들이 코로나 사태로 눈코 뜰 사이 없이 1년을 보내는 동안 사이버 공격에 시달렸다고 보안 업체 체크포인트(Check Point)가 밝혔다. 특히 세계 여러 나라에서 백신이 개발되고 배포되는 지난 2개월 동안 의료 기관들을 겨냥한 사이버 공격은 전 세계적으로 45% 증가했다고 한다.

[이미지 = utoimage]

이 45%는, 다른 산업에서 집계된 사이버 공격 증가량보다 2배에 가까운 수치라고 한다. 의료 조직들은 지난 11월 1주일에 평균 626번의 사이버 공격을 받았고, 그 전달인 10월에는 430번의 공격을 받았다. 가장 흔한 공격 유형은 랜섬웨어와 디도스, 봇넷, 원격 코드 실행인 것으로 밝혀졌다.

지역별로 봤을 때 가장 심하게 공격을 받은 건 유럽 중앙인 것으로 나타났다. 11월과 12월 사이, 이 지역의 의료 기관들은 145% 증가한 사이버 공격을 겪어야만 했다. 그 다음은 동아시아 지역으로, 같은 기간 이 지역에서의 사이버 공격은 137% 증가했다. 다음은 라틴아메리카 지역(112%), 유럽 전체(67%)가 뒤를 이었다. 국가 중에서는 캐나다가 200%를 기록하며 1위를 달성했다.

또 다른 보안 업체 마임캐스트에 의하면 지난 한 해 동안 의료 산업 내 단체들 중 90%가 이메일 기반 공격을 경험했다고 한다. 이메일은 거의 모든 사이버 공격의 시초가 된다. 특히 코로나 사태가 막 터지고서 100일 정도 기간 내에 이러한 악성 행위가 크게 증가했다고 한다. 이 때문에 코로나에 대응했어야 할 단체들이 아무 것도 하지 못하기도 했다는 것이 마임캐스트의 설명이다.

보안 업체 지스케일러(Zscaler)의 경우 지난 1월부터 9월까지 160억 번의 SSL 기반 공격이 의료 산업 내에서만 발생했다고 발표하기도 했다. 이는 해당 기간 동안 발생한 모든 사이버 공격의 25.5%를 차지한다. 의료 기관에서 악성 행위가 발견될 경우, 84%가 악성 웹 콘텐츠와 관련된 것이었다고 지스케일러의 CISO인 디펜 데사이(Deepen Desai)는 설명한다.

의료 산업 내 사이버 공격에서 발견되는 또 다른 트렌드는 클라우드 스토리지 서비스를 활용한 공격이 급증한다는 것이다. 공격자들은 아마존 웹 서비스, 구글 클라우드, MS 애저, 드롭박스 등 유명 클라우드 서비스에 악성 콘텐츠를 호스팅 해 놓고 피해자들을 이리로 불러들여 감염시키는 수법을 자주 사용하고 있다. 이러한 공격은 2020년 4월 당시 5500만 건 정도 기록됐는데, 9월에는 3억 9600만 건이 발견됐다고 한다.

의료 업계에 대한 랜섬웨어 공격자들의 관심도 꽤나 높은 축에 속했다. 지스케일러가 조사한 바에 의하면 3월과 9월 사이 전체 산업군에서 발견된 랜섬웨어 공격은 500% 증가했다고 한다. 이 중 가장 높은 증가율을 보인 건 통신 산업이었고, 그 다음이 의료 산업인 것으로 나타났다.

체크포인트도 이와 비슷한 조사 결과를 이번 보고서에 삽입했다. 의료 기괸들을 겨냥한 랜섬웨어 공격이 지난 해 71% 증가했다는 내용이다. 월별로 집계했을 때 10월에는 잠깐 통신 산업을 제치고 ‘가장 많은 랜섬웨어 공격을 받는 산업’의 자리를 차지하기도 했었다고 한다. 그 중 75%에서는 류크(Ryuk) 랜섬웨어가 발견됐다. 류크는 ‘표적형’ 랜섬웨어 공격에 주로 사용되는 랜섬웨어 패밀리다.

의료 기관들을 겨냥한 랜섬웨어 공격이 워낙 기승을 부리니 지난 가을엔 FBI와 국토안보부가 나서기 시작했다. 두 기관은 공동으로 보안 권고문을 발표해 랜섬웨어 공격에 대한 대비책을 마련하라고 촉구했다. 특히 트릭봇(TrickBot)과 바자로더(BazarLoader)라는 멀웨어를 통해 랜섬웨어를 퍼트리는 전략에 대해 조심하라고 경고했다.

병원을 노리는 여러 가지 이유

의료 산업 내 사이버 공격이 무서운 속도로 증가하는 이유에 대해 보안 전문가들은 여러 가지 이유를 꼽는다. “랜섬웨어 공격자들 입장에서 병원은 완벽에 가까운 표적입니다. 민감한 데이터를 잔뜩 보관하고 있을뿐 아니라 잠깐이라도 업무가 마비되는 것이 너무나 치명적으로 작용하기 때문이죠. 게다가 코로나가 한창 진행 중인 지금과 같은 상황에서는 더욱 그렇습니다. 실제로 병원들과 협상하는 게 더 쉽다는 것이 범죄자들의 일반적인 인식이라고 알려져 있지요.” 데사이의 설명이다.

병원에서 근무하지만 실질적인 의료 행위를 하지 않는 직원들의 경우, 다른 산업들처럼 재택 근무를 실시하기도 했는데, 이 역시 사이버 공격자들의 눈에는 ‘기회’였다. 집으로 돌아간 그들을 공격할 수 있어서이기도 하지만, 보안 담당자들도 결국에는 의료진이 아니라 재택 근무를 실시했고 따라서 병원 네트워크를 돌볼 사람이 아무도 없었기 때문이다.

심지어 의료 분야는 예전부터 IT 기술과 보안 분야에서 뒤처지는 것으로 유명했다. 체크포인트는 보고서를 통해 “의료 기관들은 이미 알려진 취약점들에 노출된 경우도 많고, 새로운 솔루션이나 시스템을 도입하려면 복잡하고 까다로운 승인 절차를 거쳐야 한다”며 “최신 공격을 막기 힘들다는 태생적인 한계를 가지고 있다”고 설명했다.

데사이 역시 “의료 분야는 사람의 생명을 다루기 때문인지 대단히 많은 정책, 표준, 규정의 관리 하에 놓여 있다”며 “수많은 기관들이 제시한 표준이나 규정을 절차에 따라 준수하는 것조차 버거운 분야라, 병원 하나하나의 보안 상태를 논하기 전에 병원을 통제하고 관리할 중앙 체제 및 가시성의 부재부터 논해야 한다”고 주장한다.

“중앙화가 되어 있지 않고, 각자의 역량에 맡기기 때문에 큰 병원은 어느 정도 보안 수준을 갖추고 있기도 하지만 작은 병원들은 보안의 ‘ㅂ’도 준비하지 못한 경우가 태반입니다. 보안 솔루션이나 장비가 너무 비싸기 때문이죠. 병원 장비와 진료용 소프트웨어도 결코 저렴한 게 아니니 작은 병원으로서는 부담이 심합니다. 이런 병원들을 포함한 의료 업계 전체의 보안 강화 방법을 찾아야 합니다. 이 이후에 코로나와 비슷한 사태가 또 발생한다면, 병원들은 더 거센 공격에 당할 것입니다.”

------------------------------------------------------------------------------------------------------------------

민감한 개인정보를 가장 많이 보관하고 있는 병원이 보안 수준에서는 하위권을 차지한다는게 당황스러웠다. 다 같이 힘든 이 시기에 코로나에 대응하느라 바쁜 병원이 돈 벌 생각만 하는 공격자에 의해 많은 개인정보가 탈취되는게 안타깝다. 이에 대해 기사의 말과 같이 의료 업계 전체가 고려해야 할 사안이며 새로운 보안 기술을 보다 빠르게 도입해야 한단말에 공감하였다.