Offcanvas

CSO / 디지털 트랜스포메이션 / 랜섬웨어

“수습 비용만 1조원”··· 체인지 헬스케어의 랜섬웨어 대참사에서 배워야 할 8가지 교훈

2024.06.17 John Leyden   |  CSO
체인지 헬스케어 사이버 공격 사건은 많은 기업이 주목해야 할 사례다. 이 사건은 기본적인 보안 수칙 미준수, 전략적 판단 실수, 보안 트렌드에 대한 대응 부족 등 다양한 원인이 복합적으로 작용하여 발생했다. 유사한 피해를 방지하고자 하는 기업이라면 체인지 헬스케어 사례를 면밀히 분석해야 한다.
 
ⓒ Getty Images Bank

체인지 헬스케어에 가해진 랜섬웨어 공격은 의료 산업 전반에 내재된 보안 취약점을 적나라하게 보여줬다. 체인지 헬스케어의 ‘재앙적인’ 랜섬웨어 공격 사태 이후, 업계 전문가는 해당 사건으로 교훈을 얻고, 강력한 보안 규제를 마련해야 한다고 강조하고 있다.

먼저 체인지 헬스케어 공격 사건에 대해 간략하게 살펴보자. UHG(UnitedHealth Group)에게 2022년 약 80억 달러로 인수된 체인지 헬스케어는 의료 데이터를 기반으로 환자, 보험사, 병원, 약국 사이에 필요한 정보를 공유하고 결제 시스템을 제공하고 있다. 그러다 보니 체인지 헬스케어에 랜섬웨어 공격이 발생했을 때 미국 전역의 보험 청구 처리가 중단됐다. 동시에 병원, 약국, 환자들은 사전 승인받은 처방전이나 보험이 적용되는 치료를 진행하지 못했다.

체인지 헬스케어는 공격에 대응하기 위해 시스템을 오프라인 상태로 변경하기도 했는데, 이때 체인지 헬스케어 솔루션을 이용하는 의료 서비스 업체는 결제 작업을 진행할 수 없었다. 거기다 소규모 의료 서비스 제공업체와 시골 약국은 이 공격으로 인해 막대한 매출 손실을 입었다. 일부 약국은 파산에 가까운 상황에 처했다. 결국 이 공격으로 인해 미국 국민의 3분의 1에 해당하는 개인 데이터가 노출되었고, 모회사인 UHG는 사태를 수습하는 데 8억 7,200만 달러(약 1조 2,042억 원) 가량의 비용을 지출했다.

수습 비용 중 일부는 수천 개의 의료 서비스 제공자에게 신속 결제 및 무이자, 수수료 없앤 대출금을 제공하는 데 사용됐다. 일부는 사고 대응과 체인지 헬스케어의 시스템을 처음부터 완전히 재구축하는 데 쓰였다. 매출 손실까지 포함하면 이번 공격으로 인해 UHG는 10억 달러(약 1조 3,809억 원) 이상의 비용을 지출한 것으로 추정되고 있다.

체인지 헬스케어 사태 이후 일부 미국 정치인들은 의료 업계에서 사이버 보안 표준을 의무화하고 정보 공유를 강화해야 한다고 촉구하고 있다. 또한 많은 데이터가 여러 업체 및 기관에 공유되는 상황인 만큼 의료 업계 내 사이버 위험이 증가하고 있는 것 아니냐는 우려도 내비쳤다.

이번 랜섬웨어 공격은 부실한 보안 통제 능력이 막대한 피해와 비용 손실을 초래할 수 있다는 점을 보여준다. 이 사건을 통해 보안 담당자들이 주목해야 할 사항은 다음과 같다.

1. MFA는 필수
5월 초 의회 증언에서 나선 UHG의 CEO 앤드류 위티는 공격자가 2월 12일을 전후로 유출된 로그인 정보를 사용하여 체인지 헬스케어 시트릭스 포털에 원격으로 접근했다고 말했다. 이 포털은 기본적인 보안 제어 수단인 다단계 인증(MFA)으로 보호되지 않았다.

MFA는 완벽하지는 않지만 자격 증명 공격으로부터 시스템을 보호하는 수단으로 여겨지고 있다. 보안 솔루션 업체 ESET의 수석 보안 에반젤리스트인 토니 앤스콤은 “공격자가 체인지 헬스케어의 시스템에 원격으로 접근할 수 있었던 데에는 MFA가 활성화되지 않은 것이 핵심적인 역할을 했을 것”이라며 “다른 측면에서 MFA가 지원됐다면 충분히 피할 수 있었던 사고였다. 가장 기본적인 사이버 보안 원칙을 지키지 않은 점은 심각한 문제”라고 지적했다. 또한 앤스콤은 “MFA가 없었던 이유는 밝혀지지 않았다”라며 “무능함, 예산 제한, 사용자 요구 등이 원인일 수 있다”라고 말했다.

데이터센터 및 클라우드 보안 전문 기업 일루미오(Illumio)의 인프라 담당 디렉터인 트레버 디어링은 “랜섬웨어 공격이 성공할 때 보면 내부 보안 제어 역량이 부족할 때가 매우 많다”라며 “MFA 제어가 부족하거나 패치가 적용되지 않은 웹 포털, 라이선스가 만료된 DLP(Data Loss Prevention, 데이터 손실 방지) 시스템 등 어떤 구멍이든 대규모 침해 사고를 일으킬 수 있다”라고 밝혔다.

2. 시스템 세분화
체인지 헬스케어 시스템에 접근 권한을 획득한 공격자들은 9일 후인 2월 21일에 ALPHV/BlackCat 랜섬웨어를 배포하기 전에 측면으로 이동(Lateral Movement)하여 데이터를 유출했다. 디어링은 “체인지 헬스케어는 시스템을 세분화하지 않아 측면 이동 공격이 쉬웠다”라며 “이로 인해 중요한 자산이 공격자에게 노출되었다”라고 말했다.

세분화는 대규모 시스템 네트워크를 더 작고 격리된 하위 세그먼트로 세분화하여 측면 공격을 방지한다. 또한 IT 자산을 더 쉽게 보호하고 모니터링할 수 있게 해준다. 세분화는 심층 방어 전략의 핵심 요소로 여겨직고 있다.

3. M&A 작업에도 사이버 감사가 필요
체인지 헬스케어 랜섬웨어 사건은 기업 인수합병 이후 시스템에 대한 철저한 감사가 필요하다는 것을 보여준다. 미국 대규모 의료 보험사인 UHG는 2022년 10월 미국 최대 의료 보험 청구 정보 센터인 체인지 헬스케어를 인수했다. 당시 미국 법무부는 해당 인수 건이 의료 보험 및 의료 보험 청구 처리에 사용되는 기술 시장의 경쟁을 해치고, 미국 최대 의료 보험사인 UHG가 경쟁사의 데이터에 접근할 수 있게 될 것이라고 주장하며 법적 분쟁을 벌였다.

하지만 결국 인수는 진행되었고, 체인지 헬스케어는 UHG의 또 다른 자회사인 의료 서비스 회사인 옵텀(Optum)과 합병됐다. 그리고 옵텀의 CIO/ CTO와 UHG의 CISO를 겸직하던 스티븐 마틴이 체인지 헬스케어의 보안 운영을 총괄했다.

문제는 인수 합병이 새로운 사이버 위협을 야기한다는 점이다. 각각 고유한 보안 프로토콜과 잠재적인 취약점을 가진 여러 조직의 시스템, 데이터, 프로세스를 통합하기 때문이다.

보안 기업 CTERA의 CTO인 아론 브랜드는 “인수 합병 과정에서 사이버 범죄자들은 보안 조치의 불일치, IT 거버넌스의 격차, 통합된 IT 환경 관리 때문에 발생한 복잡성 등을 활용해 공격한다”라며 “또한 특정 조직끼리 민감 정보를 공유하는 사례가 늘어나면서 데이터 유출 위험은 더욱 커지고 있다”라고 밝혔다.

브랜드는 이와 관련된 복잡성과 위험을 고려할 때, 합병 과정에서 의료 및 비의료 조직 모두 통합적인 감사를 하며 보안 위협이 없는지 꼭 확인해야 한다고 조언했다. 브랜드는 “피인수 기업의 사이버 보안 태세를 평가하고 취약점을 파악하며 사고 대응 능력을 평가하기 위한 철저한 보안 감사 이뤄져야 한다”라며 “예를 들어 체인지 헬스케어 인수 과정에서 미리 보안 요소를 철저히 평가하고 MFA가 적용되지 않았음을 확인했다면 문제를 해결하고 어느 정도 피해를 줄일 수 있었을 것”이라고 설명했다.

MDR 보안 전문 기업 엑스펠(Expel)의 위협 인텔리전스 분석가인 아론 월튼도 브랜드의 의견에 동의했다. 월튼은 “청문회에선 왜 기본 보안 조치가 부족했는지 명확히 원인은 알 수 없었지만, 체인지 헬스케어가 UHG와 동일한 보안 정책을 갖추지 못했던 것은 드러났다”라며 “체인지 헬스케어가 UHG의 업그레이드, 프로세스, 정책을 적용했다면 MFA 부족과 같은 체인지 헬스케어 공격의 원인이 된 일부 문제를 해결할 수 있었을 것”이라고 밝혔다.

4. 여러 조치가 필요한 ‘셀프 보험’
의회 청문회에서 질문에 대한 답변으로 UHG의 최고 경영자 위티는 사이버 사고 대응하는 과정에서 ‘셀프 보험’을 도입했다고 인정했다. 셀프 보험은 전통적인 보험사와 계약을 맺지 않고 발생할 수 있는 손실이나 위험에 대비해 자금을 직접 마련하는 것을 뜻한다.

사실 사이버 보험 제공업체는 보험을 승인하기 전에 미리 여러가지 위험 요소를 완화해달라고 강력하게 요구한다. 많은 조직이 이런 보험을 가입하는 과정에서 시스템을 강화하는 계기를 마련한다.

ESET의 앤스콤은 “셀프 보험을 선택하고 위험을 감수할 수 있지만 그렇다고 사이버 보안 조치를 등한시해선 안 됐다”라며 “내부 위험 요소가 많다고 보험에 가입하지 못하는 것은 아니다. 대부분 사이버 보험에 가입할 수 있다. 다만 보험료가 높아질 뿐이다”라고 설명했다.

앤스콤은 "사이버 보안 조치를 준수하지 않아 보험료가 너무 비싸다는 이유로 보험에 가입하지 않는 것은 비즈니스, 고객, 파트너 및 기타 많은 사람들을 불필요하게 위험에 빠뜨리는 행위이다. 그런 면에서 체인지 헬스케어의 결정은 용납할 수 없다”라고 말했다. 앤스콤은 기업이 사이버 위험 보험을 준수하거나 더 나아가 공인된 사이버 보안 프레임워크를 준수하는 자세를 취해야 한다고 조언했다.

5. 적과 함께 생활하기
공격자들은 랜섬웨어를 배포하기 전에 일주일 넘게(정확히 9일) 체인지 헬스케어 시스템을 배회했다. 전문가에 따르면, 이런 종류의 탐색은 기업 대상 공격에서 흔히 있는 일이다. 공격자가 다양한 권한을 가져가고 손상된 네트워크에서 측면으로 이동하는 것이다.

시스템에 오래 머물러 있어도 공격자는 쉽게 발각되지 않기도 하다. 정상적인 트래픽에 쉽게 섞일 수 있는 합법적인 프로그램과 명령을 남용하는 등 자신의 활동을 위장하기 위해 많은 노력을 기울이기 때문이다.

보안 기업 실로브레이커(Silobreaker)의 바움가르트너는 “랜섬웨어 그룹은 일반적으로 피해자의 시스템 내에서 매우 오랜 시간을 보내며 네트워크 내에서 측면으로 이동하여 가능한 한 많은 피해를 입힌다”라며 “또한 네트워크 내에서 발각되지 않고 오래 머물면서 민감한 데이터를 훔칠 수 있는 시간을 더 확보하곤 한다”라고 밝혔다.

체인지 헬스케어가 피해를 입는 과정에서 공격자를 탐지했었는지는 알기 어렵지만, 기본적으로 보안 관계자는 이런 랜섬웨어 공격 특성을 인지하고 있어야 한다.

6. 이중 위험 - 몸값 지불에 대한 논쟁
UHG의 최고 경영자 위티는 의회 증언에서 블랙캣/ALPHV 랜섬웨어 그룹의 사이버 범죄자들에게 2,200만 달러(약 303억 원)상당의 비트코인을 몸값으로 지불했다고 전했다. 이후 블랙캣/ALPHV는 출구 사기(exit scam, 약속한 것을 제공하지 않고 갑자기 사라지면서 돈을 가지고 도망가는 행위)를 저지르고 돈을 가지고 사라졌으며, 협력 조직인 Nichy의 몫까지 가로챈 것으로 알려졌다. (랜섬웨어 운영 조직은 종종 타 사이버 범죄자와 협력(affiliate)하며 공격을 공동으로 진행한다.)

체인지 헬스케어가 몸값을 지불한 것도 논란이 되었다. 사이버 범죄자의 강압적인 요구에 돈을 지불하는 것이 과연 옳은 선택이냐에 대한 의견이 있기 때문이다. 사실 몸값을 지불한다고 해서 공격자들이 훔친 데이터를 삭제하거나 향후 공격을 자제한다는 보장이 없기도 하다.

ESET의 앤스콤은 “랜섬웨어 요구에 대한 지불 결정은 법원에서 일부 의료 결정을 내리는 것과 같은 방식으로 법원에서 내려야 한다”라며 “그러나 대부분의 지불 결정은 재정적 관점에서 진행된다. 다시 말해 비즈니스 중단을 최소화하고 복구를 위한 시스템 재구축 작업을 줄이기 위해 피해 기업은 몸값을 지불하고 있다”라고 밝혔다.

CTERA의 브랜드는 “최근 한 조사에 따르면 몸값을 요구하고 탈취한 데이터를 공개하겠다고 협박하는 이중 탈취(Double Extortion)는 랜섬웨어 공격에서 77%에 해당한다”라며 “또한 몸값 지불은 사이버 범죄자들이 다른 조직도 공격하도록 장려하여 랜섬웨어 공격의 부추기는 윤리적 딜레마를 만들 수 있다”라고 설명했다. 실제로 UHG는 몸값을 지불했음에도 추가 협박을 받았다.

보안 공급업체 포스카우트(Forescout)의 분석에 따르면, 지난 4월 랜섬허브 그룹의 사이버 범죄자들은 체인지 헬스케어 침해 사건에서 훔친 6TB의 민감한 데이터 중 일부를 니치를 통해 유출하겠다고 협박했다. 미국인 3명 중 1명은 이 공격으로 인해 민감한 데이터가 노출된 것으로 추정된다.

7. 점점 더 공격받는 의료 분야
컴플라이언스 전문가에 따르면 이러한 이중 협박이 점점 더 일반화되고 있으며 특히 의료 서비스 제공업체가 가장 큰 위험에 노출되어 있다고  보고 있다.

국제 로펌 테일러 웨싱의 기술, IP 및 정보 팀의 파트너인 빅토리아 호든은 “의료 기관에선 데이터에 접근 못하면 환자 치료 업무가 마비가 된다“그러다 보니 의료 데이터 유출을 노리는 랜섬웨어 공격자가 많아지고 있다”라고 밝혔다. 실제로 체인지 헬스케어 외에도 어센션, 런던 드럭그스, 센코라, 시노비스 등 의료 기관을 공략한 공격이 최근 동시다발적으로 발생하고 있다.

호든은 “시스템이 다양하고 환자, 의료 서비스 제공자, 기술 지원 담당자 등 다양한 당사자가 연관된 시스템에는 보안 취약점이 더 많이 존재한다”라고 설명했다.

미국 보건복지부(HHS)는 UHG 또는 체인지 헬스케어가 의료 부문 개인정보 보호 규정을 위반했는지 여부를 평가하는 과정에서 보호 대상 건강 정보 침해가 발생했는지도 조사하고 있다. 이 조사는 현재도 진행 중이다.

8. 최근 더 증가하는 랜섬웨어
최근 랜섬웨어 시장에선 ALPHV가 사라지고 새로운 랜섬웨어 운영 조직인 랜섬허브(RansomHub)이 적극 활동하고 있다. 전문가들은 이런 변화가 랜섬웨어 시장에 큰 영향을 주고 있지 않다고 설명했다.

실로브레이커의 연구 책임자 한나 바움가르트너는 “악명 높은 랜섬웨어 운영 조직인 ALPHV와 LockBit은 최근 타격을 입었다. ALPHV 조직은 협력자의 몫을 주지 않고 사라지는 출구 사기를 저질렀고, 비슷한 시기 당국이 LockBit 조직에 대한 법적 조치를 취한 것이다.  그 결과 가장 활발하게 활동하던 두 개의 RaaS(Ransomware as a Service) 그룹이 더 이상 활동하지 않게 되었다”라며 “이로 인해 랜섬웨어 공격이 줄어들 것이라고 예상할 수도 있지만, 실제로는 그렇지 않았다”라고 밝혔다.

RaaS 운영의 특성상 이전에 ALPHV와 협력했던 사이버 범죄 조직은 새로운 업체를 찾아야하는 상황이다. 바움가르트너에 따르면 ALPHV를 이끌었던 주요 업체들은 다른 이름으로 새로운 프로젝트를 진행할 가능성이 높다.

미국 보건복지부에 따르면 지난 5년 동안 랜섬웨어 공격은 3배 이상(264%) 증가했다. 한편, 프루프포인트의 설문조사에 따르면 랜섬웨어는 최고정보보안책임자(CISO)가 가장 큰 위협으로 인식하는 요소로 나타났다.

CSO는 체인지 헬스케어 랜섬웨어 공격에 대한 조사와 관련해서 UHG에 의견을 요청했지만, 따로 답변을 듣지 못했다.
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.