By WILLIAM RALSTON, WIRED UK

9월 11일 밤, 독일 뒤셀도르프(Düsseldorf)에서 구급대원들은 대동맥류로 고통 받는 78세 여성의 상태가 위독하다는 신고를 받았다. 지방 대학병원에 전화를 걸어 임박한 그들의 도착을 직원들에게 알렸을 때 안 좋은 소식이 들려왔다. 이들은 응급실이 폐쇄돼 환자를 받을 수 없다는 말을 들었다.

대신 구급차는 32㎞ 떨어진 우퍼탈(Wupperta)의 헬리오스 대학병원으로 향했고, 이로 인해 환자의 치료가 1시간 지연됐다. 그녀는 얼마 지나지 않아 생을 마감했다.

비극적인 일련의 사건들은 사이버 범죄 관계자들의 관심을 끌었다. 해커들이 데이터를 암호화한 뒤 잠금 해제를 위해 대금을 요구하는 랜섬웨어 공격이 발생해 병원 측이 구급차를 돌려주지 않을 수 없었다. 이번 공격으로 병원 측이 진료, 입원, 치료 등을 조율하기 위해 사용하고 있는 디지털 인프라가 훼손돼 수백 건의 수술과 기타 절차가 취소될 수밖에 없었다. 또한, 병원의 수용력을 크게 제한했다. 보통 하루에 1,000명 이상의 환자를 치료하는 반면, 공격의 영향으로 그 수가 절반 이하로 떨어졌다. 이미 병원 안에 있는 사람들을 보호하기 위해 신규 진료를 중단하는 것이 필요했다

이번 공격에 이어 랜섬웨어에 의한 첫 사망 사례가 아니냐는 주장이 제기됐다. 쾰른의 검찰은 해커들이 과실치사 또는 악의 없이 다른 사람을 살해하는 것을 의미하는 과실치사 혐의를 받고 있다고 보고 해커들을 추적할 태세를 갖추었다. 성공하기 위해서는 법적 인과관계를 확립해야 할 것이다. 즉, 공격과 치료 지연이 사망에 충분히 영향을 미쳤다는 것이다.

쾰른 검찰청 검사장 마커스 하르트만(Markus Hartmann)은 "항상 전투가 될 것"이라고 말했다. 하르트만 연구팀은 2개월에 걸친 조사 끝에 이 문제를 더는 추진할 근거가 부족하다는 결론을 내렸다. 랜섬웨어는 이 사건에 연루되었지만, 법은 해커들을 비난할 수 없다는 것을 의미한다.

랜섬웨어 공격은 9월 10일 새벽 처음 포착됐지만 훨씬 일찍 시작되었을 수도 있다. 병원의 내부 네트워크는 너무 광범위해서 직원들이 암호화된 파일을 눈치채지 못한 채 며칠 동안 그것을 사용하고 있을 수도 있다. 이 랜섬웨어는 Citrix 애플리케이션에서 잘 알려진 취약성을 통해 뒤셀도르프 대학(University Hospital Düseldorf)의 네트워크에 침입했다. 병원 측은 취약점이 발견된 1월에 그것을 고쳤다고 주장하지만, 랜섬웨어 다운로드 프로그램은 취약점 소식이 알려진 12월에 설치됐을 가능성이 있다.

현지 보도에 따르면 이번 공격은 병원 서버에 있는 해커들의 랜섬 노트가 병원이 아닌 부속 하인리히 하이네 대학으로 향했기 때문에 잘못 지시된 것이라고 한다. 하르트만 대변인은 "해커들은 자신들의 실수를 인정해 병원을 덮치겠다는 통보를 받고 경찰에 암호키를 제시하기도 했지만, 이는 모두 '사람들의 관심을 끌기 위한 홍보'의 일부일 가능성이 있다. 우리 경험상 해커들은 돈을 위해서라면 무슨 짓이든 할 것이고, 병원 해킹에 대한 대중의 관심과 강도 높은 수사가 그들에게는 버거웠을 수 있다."라고 말했다.

 

해커들의 공격복구 노력에도 불구하고 이미 큰 피해를 입은 후였다. 9월 11일 이른 시간부터 시작된 암호 해독 과정은 더디게 진행되었다. 그 말은 9월 20일까지도 어떤 데이터도 병원 IT 시스템에 공급되거나 검색될 수 없었다는 것을 의미한다. 이메일 통신조차 제대로 작동하지 않았다. 이는 영향을 받는 데이터의 양이 엄청나게 많고 30대의 서버가 손상되었기 때문이다. 또한, 병원 관계자들에게 향후의 공격에 대비하기 위해 종합적인 보안 검사를 하도록 요구했으며, 이들 네트워크 중 일부는 여전히 강화되고 있다.

 

의학적인 관점에서 볼 때, 랜섬웨어 공격이 희생자의 죽음에 실제로 기영향을 미쳤을 가능성은 있지만, 과실치사죄로 기소하는 데 필요한 법적 인과관계를 확립하기에는 충분하지 않다. 룩셈부르크대 법학과 박사학위 연구원인 리사 어번(Lisa Urban) 박사는 독일 검찰은 이번 공격이 사망에 "결정적인" 역할을 했다는 것을 보여주는 증거 요구할 것이라고 말했다.

 

이것은 영국의 "but for" 테스트와 동등한 것을 사용하여 결정되는데, 이것은 해킹의 경우, 희생자가 그날 아침에 죽지는 않았으리라는 것을 의미한다. 검찰은 또한 이 사망을 공격자에게 법적인 책임을 물어야 할 것이다. 어반 박사는 "아주 불가능한 일은 아니지만, 피해자가 위독한 질병에 걸려 있는 이와 같은 의료 사건에서는 법적 근거를 마련하는 것이 간단하지는 않다"고 말했다.

 

의료진과의 협의, 부검, 사건 발생 1분 1초가량의 정밀조사 등을 거친 결과, 어느 병원에 입원했든 간에 사망했을 정도로 피랍 당시 피해자의 병이 심각했을 것이라고 보고 있다. 하트만은 "이 같은 지연은 최종 결과와 관련이 없다. 의학적 상태가 유일한 사망 원인이었고, 이는 사이버 공격과는 완전히 무관하다."고 말했다. 그는 그것을 운전 중 시체를 때리는 것으로 비유한다. 당신이 제한 속도를 어기고 있는 동안, 당신은 죽음에 대한 책임이 없다.

 

이 모든 것은 하트만이 역사적으로 당국이 해커들을 범죄인 인도로부터 보호해 온 러시아에 기반을 두고 있다는 점에서, 비록 그가 그들을 식별하기 위한 싸움과 그들을 기소하기 위한 싸움까지 직면하고 있지만, 이 모든 것은 하르트만에게 더 전통적인 협박과 해킹의 혐의를 통해 해커들을 추적하도록 남겨둔다. 공격자가 선택한 랜섬웨어인 도플페이머는 러시아 그룹과 연계돼 있다.

 

하지만 랜섬웨어가 직접 죽음을 초래하는 것은 시간문제라고 하르트만은 믿고 있다. 그는 "환자가 조금 덜 심각한 상태로 고통 받고 있는 곳에서는 이번 공격이 분명 결정적인 요인이 될 수 있다"고 말했다. 치료를 받지 못하는 것은 응급서비스가 필요한 사람에게 심각한 영향을 미칠 수 있기 때문이다. 고발에 성공하는 것은 미래의 사건에 중요한 선례를 남길 수 있고, 따라서 일반적인 사이버 범죄 법령을 넘어 검사들의 수사를 심화시킬 수 있다.

 

어번교수는 "주요 장애물은 증거의 하나가 될 것이다. 해킹 때문에 불과 몇 시간 만이라도 검찰이 더 일찍 사망했다고 입증할 수 있는 만큼 법적 인과관계가 있을 텐데, 이건 결코 입증하기 쉽지 않다"고 말했다. 뒤셀도르프의 공격으로 피해자는 훨씬 더 오래 생존할 수 있었지만, 일반적으로 해커들이 과실치사 혐의를 받을 수 있다는 것은 "가능한 일"이라고 주장했다.

 

그리고 인과관계가 성립되는 곳에서는 하르트만은 형사 기소를 위한 노출이 해커들의 범위를 넘어선다고 지적한다. 대신 해킹에 참여한 것으로 보일 수 있는 사람은 누구나 기소될 수 있다고 한다. 예를 들어 뒤셀도르프 사건에서 그의 팀은 병원 IT 직원의 과실을 고려할 준비를 하고 있었다. 예를 들어, 그들이 네트워크를 더 면밀히 감시했으면 병원을 더 잘 방어할 수 있었을까?

 

우려를 심화시키는 것은 병원에 대한 사이버 공격 위협이 커지고 있다는 점이다.

 

미국 전역의 750개 이상의 의료 사업자들이 작년에 랜섬웨어의 표적이 되었다. 대유행 기간 동안 악화되었던 일련의 사건들이 이러한 공격들을 날카롭게 집중시켰다.

 

인터폴은 지난 4월 연방 당국이 북미 전역에 걸쳐 병원과 의료 사업자에 대한 사이버 범죄 위협이 증가하고 임박했음을 경고하기 전에 경고를 발령했다.

 

보안업체 엠시소프트의 위협 분석가 겸 랜섬웨어 전문가인 브렛 캘로우(Brett Callow)는 "미국에서의 공격으로 인해 한 병원은 300명의 직원을 해고해야 했고 또 다른 병원은 컴퓨터 암 치료 제어기를 관리할 수 없었기 때문에 이러한 사건들이 환자 치료에 영향을 미칠 수밖에 없다. 그리고 병원이 응급환자를 받아들일 수 없는 경우에는 사망 위험이 매우 증가한다."라고 말했다.

 

해커들은 결코 재판에 넘겨지지 않을 수도 있지만, 뒤셀도르프에서의 공격은 범죄자들이 중요한 시스템을 목표로 할 때 현실 세계의 결과를 경고하는 역할을 한다. 하르트만은 "개인 컴퓨터를 공격하는 것도 위험하지만, 병원 인프라를 공격하는 것은 전혀 다른 일이다. 이는 중요한 인프라를 운영하는 사람들이 인프라 구조를 보호하지 못하면 치명적인 결과를 초래할 수 있다는 경고이다. 그리고 해킹 현장에 있는 누구에게도 금전적 피해 이외의 결과 없이 랜섬웨어를 퍼뜨리기를 기대할 수는 없다"고 말했다.
 

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 배효린 에디터)


<기사원문>
The untold story of cyberattack, a hospital and a dying woman