미국 내 코로나19 감염이 급격히 확산함과 동시에 랜섬웨어 공격도 대대적으로 증가해, 최근 몇 주간 미국 내 병원과 의료 기관 20여 곳이 타격을 받았다. 미국 정보기관과 사이버보안 전문가들은 곧 상황이 더 악화될 것이라고 경고한다.
수요일 저녁, 사이버보안 및 기반시설 보안 기관(CISA)과 연방 조사국, 미국 보건복지부는 이미 발생한 랜섬웨어 공격보다 더 심각한 수준으로 미국 병원과 의료 기관을 겨냥한 사이버 범죄 위협이 곧 증가할 것"이라고 경고했다. 경고 내용에 따르면, 악명 높은 트릭봇 트로이목마(Trickbot trojan)와 류크 랜섬웨어가 이번 해킹의 주요한 공격 수단으로 이용됐다. 민간 기업의 보안 전문가들은 이번 랜섬웨어가 한때 UNC 1878이나 위자드 스파이더(Wizard Spider) 등으로 불린 러시아 범죄 조직과 관련이 있다고 말한다.
“랜섬웨어보다 대중에게 심각한 위험을 줄 수 있는 것은 없다”
존 헐트퀴스트, 파이어아이
지난 수년간 랜섬웨어 집단은 병원을 공격 대상으로 삼았다. 의료복지 기관의 디지털 시스템을 열지 못하도록 할 경우, 환자 치료에 위협을 가하고 돈을 지불하고 데이터를 복구하려 하는 시급한 상황을 최대한 만들 수 있기 때문이다. 비교적 최근에는 의료계의 랜섬웨어 감염률과 해커들이 요구하는 비용 모두 폭발적으로 증가했다. 바이러스 방지 기업인 엠시소프트(Emsisoft)는 랜섬웨어에서 평균적으로 요구하는 비용이 2018년 약 5,000달러(566만 5,000원)에서 올해 약 20만 달러(2억 2,660만 원)로 심하게 증가했으며, 수백만 달러를 요구하는 때도 갈수록 흔해지고 있다고 밝혔다. 2020년 10월, 유니버셜 헬스 서비스(Universal Health Services)가 당한 류크 랜섬웨어 공격이 미국 병원과 의료시설 250곳으로 확산됐다. 이 때문에 미국의 디지털 서비스와 의료 기관이 타격을 입었다.
[사진=Pixabay]
현재의 랜섬웨어 공격 감염은 다음과 같이 우려스러울 정도로 놀라운 변화를 나타낸다. 바로 금전적인 이유로 공격을 개시하는 랜섬웨어 그룹이 얼마나 공격적인가, 그리고 랜섬웨어가 얼마나 확산할 수 있는가이다.
파이어아이(FireEye)의 자회사인 사이버 보안 기업 맨디언트(Mandiant) 소속 전무 겸 최고기술담당자인 찰스 카마칼(Charles Carmakal)은 "지금까지 제가 미국에서 본 사이버 위협 중 가장 심각한 위협입니다"라고 말했다. 이어, 그는 "모든 이들에게 인간으로서 인식하는 윤리적인 선이 존재합니다. 타인의 생명에 잠재적인 영향을 미칠 수 있다는 사실을 알고도 랜섬웨어 공격을 개시했다면, 선을 넘었다고 할 수 있습니다. 해커가 윤리적인 선을 넘고 있다는 점이 분명합니다. 의료계를 겨냥한 랜섬웨어 공격을 벌이는 집단은 놀라울 정도로 뻔뻔하고 무정하며 무자비한 이들입니다"라고 덧붙였다.
이번 랜섬웨어 공격은 러시아 정부가 우크라이나의 중요한 기반 시설을 공격한 것만큼 치명적이지는 않다. 그러나 캘리포니아, 오레건, 뉴욕 등 미국 내 여러 피해 병원의 전산을 서서히 마비시켰다. 피해를 본 병원과 의료 기관 모두 진료 일정을 다시 잡고 수술을 미루거나 제때 진료를 받을 수 있도록 환자들에게 다른 의료 시설을 안내하는 상황이 속출했다.
미국 정부의 경고는 병원에서 사이버 공격에 스스로 대비할 수 있는 권고사항과 최선책을 제시한다. 맨디언트와 같은 민간 기업들은 '구성 지표'를 공유해 의료 복지 시설이 시스템을 더욱 면밀히 감시하고, 잠재적인 공격 위험을 예방할 수 있도록 도움을 준다. 주로 제기되는 우려사항 중 하나는 이미 의료 기관 수백 곳이 해커들의 공격으로 보안이 약해져, 해커가 공격을 개시하기 전까지 시스템 내에 랜섬웨어 등 각종 공격 수단이 존재할 것이라는 점이다.
신규 감염 사례도 증가할 수 있다. UNC 1878과 같이 해킹 공격 경험이 많은 전문 해커들로 구성된 랜섬웨어 집단은 한 번 정한 공격 대상의 보안을 약화할 수 있는 랜섬웨어를 재빨리 심어둘 수 있다. 그러나 아직은 일반적으로 랜섬웨어 공격을 포착하고 방지할 수 있는 창이 존재한다. 게다가 여러 기관은 랜섬웨어 공격 피해를 빠르게 복구하도록 대비하고 시스템을 온라인으로 복원할 수 있다. 이 과정에는 백업과 류크 랜섬웨어 복원용으로 특별 개발된 툴과 같은 세이프가드가 활용된다. 엠시소프트와 같은 일반 기업들은 의료복지 기관을 대상으로 당장 사용할 수 있는 무료 서비스를 제공한다.
보안 업체 사이버포인트(CyberPoint) 소속 연구원인 그렉 리나레스(Greg Linares)는 "저의 고객 중에는 의료복지 업계의 기관 두 곳이 있습니다. 두 기관 모두 해커가 멀웨어 배포에 악용한 공유 관리 인터페이스 때문에 보안이 취약해진 것으로 보였습니다. 지금 당장은 담당 팀과 함께 문제를 최소화하기 위해 협력 중입니다. 다시 말해, 공격이 개시되기 전 저희가 먼저 멀웨어를 제거하느냐, 아니면 일주일 이내로 해커들이 공격을 개시해 병원 100여 곳이 추가로 랜섬웨어 피해를 보느냐의 문제입니다"라고 설명했다.
류크는 과거에도 여러 부문과 기업 전반에 걸쳐 피해를 주는 대담하면서도 위험한 공격 수단으로 이용됐다. 2019년 10월, 캐나다 사이버 보안 센터는 국제적 범위에서 개시되는 해킹 공격을 경고했다. 미국에서 발견된 병원 내 랜섬웨어 공격이 이미 캐나다까지 확산한 듯하다.
그러나 급격히 악화하는 상황을 다루는 방식을 둘러싸고 의문이 제기되고 있다. 이 부분에서 UNC 1878이 수익을 위해 계속 공격을 개시할 수 있다는 점과 다른 디지털 범죄 집단에 위험한 본보기를 제공할 수 있다는 점을 고려했다.
파이어아이 소속 인텔리전스 대표인 존 헐트퀴스트(John Hultquist)는 “매우 중요한 문제”라고 말한다. 그는 “사이버 보안 분야에서 경력을 쌓기 시작한 이래로 주 단위 사이버 공격을 조사해왔습니다. 그리고, 랜섬웨어보다 대중에게 심각한 위험을 줄 수 있는 요소는 없습니다”라고 전했다.
헐트퀴스트는 러시아와 같은 국가가 사법부에서 돈을 목적으로 사이버 범죄를 저지르는 해커들을 통제하지 않는다면, 국제사회가 러시아에게 강제로 사법부의 통제를 실시하도록 하거나 다른 조치를 취해 범죄 행위를 무력화시켜야 한다고 주장한다. 그러나 미국 정부든 다른 기관이든 그 어떤 기관도 일방적으로 이와 같은 행동을 할 수는 없다. 랜섬웨어는 대대적이며 신속한 국제 협력 외에 다른 방법으로는 해결할 수 없는 시급한 세계적 문제가 됐기 때문이다.
사이버 범죄를 무력화하기 위한 노력이 이미 시행됐다. 불과 2주 전, 미국 사이버사령부(US Cyber Command)와 마이크로소프트, 여러 사이버 보안 기업들이 독자적으로 트릭봇 봇넷을 무력화시키려 했다. 그러나 이러한 노력은 멀웨어가 빠르게 재등장하는 것을 막지는 못했다. 병원을 겨냥한 사이버 공격이 급증하는 문제는 선거 당일에 심각해질 수 있다. 선거는 확실하게 당장 드러나는 시급한 사건이기 때문이다. 해커들이 최대한 많은 데이터 값을 요구해, 여러 업계와 부문에 막대한 피해를 줄 것이다. 심각하면서도 잠재적으로는 파괴적인 수준으로 부수적 피해도 남길 것이다.
맨디언트의 카마칼은 "랜섬웨어는 심각한 문제이다. 몇 년 전에도 심각했으며, 몇 달 전에는 더욱 심각해졌다. 그리고, 몇 주 전에는 예방이 가능했지만 안타깝게도 지난 며칠 사이에 더욱 악화됐다. 랜섬웨어 문제에 대한 인식을 지녀야 한다"라고 말했다.
![[사진=Pixabay]](/news/photo/202011/2466_3481_2140.jpg)
뉴스레터 신청