본문 바로가기 주메뉴 바로가기 검색 바로가기
관료주의, 병원 전산망 노린 랜섬웨어 공격 악화
상태바
관료주의, 병원 전산망 노린 랜섬웨어 공격 악화
보건 복지 제공 기관을 겨냥한 사이버 공격이 증가하는 가운데, 법률 위기를 다룰 의도로 마련된 불편한 부담을 제기하는 관료주의 절차가 병원 전산망의 접속 장애가 더 오래 지속될 위험성을 제기하여 환자의 생명을 위협할 수도 있다.
By MATT BURGESS, WIRED US

병원과 보건 복지 제공 기관을 겨냥한 랜섬웨어 공격 무력화 작업이 증가하는 추세이다. 무차별적으로 개시되는 랜섬웨어를 비롯한 사이버 공격은 몇 주간 의료 체계 접속 장애가 발생하여 진료 예약 및 수술 취소, 환자에게 이어지는 피해를 유발할 수 있다. 의사와 간호사는 펜과 종이를 들고 환자 기록을 수기로 작성해야 하는 진료 위기를 겪고, IT 인력은 시스템 안전 작업을 하면서 온라인 접속이 가능한 상태로 복구해야 한다. 복구 작업은 오랜 시간이 걸리면서 잔혹한 피해를 일으킬 수도 있다.

와이어드의 취재에 응한 보건 복지 전문가와 변호사, 사이버 보안 전문가는 사이버 범죄 해커 세력이 일으키는 혼란 속에서 잘 알려지지 않은 관료주의 절차가 병원과 의료 시설의 시스템 정상화 속도를 늦춘다고 지적했다.

관료주의는 랜섬웨어 피해 단체가 직접 자체 시스템이나 소프트웨어와 연결한 기업에 상세 확인 혹은 증명 서한을 보내는 과정이 포함된다. 서한은 기관이 랜섬웨어 공격 이후 다시 연결한 시스템이나 소프트웨어의 안전성을 확신할 의도로 설계되었으나 물리적, 정신적 소모가 심한 복구 작전을 다루면서 추가 압박 부담을 일으킬 수 있다.

서한 제출을 요구하는 법률은 없으며, 랜섬웨어 피해가 발생한 랜섬웨어 기관에만 적용되는 것이 아니다. 그러나 복수 전문가는 위험성이 큰 상황에서 비교적 효율적인 과정을 고려해야 한다고 주장한다. 와이어드가 입수한 확인 서한은 사이버 공격 관련 개별 질문 최대 40개로 구성되었으며, 피해 상황이 드러난 과정 관련 상세 요청 사항과 대응을 위해 택한 단계, 수집된 증거 등을 요청한다.

2024년 5월, 랜섬웨어 피해로 타격을 입은 미국 19개 주 병원 140곳과 관련 공급사 수천 곳의 네트워크인 어센션(Ascension) 외부 커뮤니케이션 부사장 션 피츠패트릭(Sean Fitzpatrick)은 “매번 공급사가 공격 후 시스템 혹은 소프트웨어에 다시 접속하기 위한 요구사항을 협상하는 일은 어려우면서도 오랜 시간이 소요되는 과정이다”라고 전했다. 어센션은 현재 네트워크에 포함된 공급사 95%가 랜섬웨어 후 시스템을 다시 연결한 상태이거나 재연결 작업을 진행 중이며, 복구 과정의 투명성을 최대한 갖추기 위한 노력을 펼쳤다고 전했다.

반면, 샌디에이고 보건 복지 제공 기관인 스크립스 헬스(Scripps Health) 최고 정보 책임자 셰인 틸만(Shane Thielman)은 70곳이 넘는 병원과 진료소가 2021년 5월, 랜섬웨어 조직 콘티(Conti)가 멀웨어를 유포하자 피해 발생 시 진료소, 기업, 행정 소프트웨어로 보낼 공급사 서한 약 30건을 생성해야 했다고 전했다. 틸만은 “처음에는 일부 공급사가 확인 서한과 추가 기술 문서 및 정보 제공 요청에 응하지 않았다”라며, “그러나 일부 공급사의 거부가 제한되어 결과적으로 스크립스의 시스템 접근 복구가 지연되지는 않았다”라고 말했다.
 
[사진=Freepik]
[사진=Freepik]

랜섬웨어 피해 대화에 법률 전문가도 개입
병원을 비롯한 여러 보건 복지 기관은 매우 거대하면서도 복잡하다. 여러 기업이 개발한 소프트웨어 수십 개를 사용하면서 전자 보건 복지 기록부터 직원 교대 근무 일정까지 업무와 관련된 모든 기능을 활용한다. 의료 서비스 장애를 일으킨 사이버 공격은 병원 자체 내부 시스템과 네트워크, 외부 공급사에 소속된 시스템과 네트워크에 영향을 미칠 수 있다. 무수히 많은 기관에 소프트웨어를 제공하는 기업을 표적으로 삼아 공격을 개시한다면, 그 여파가 널리 퍼질 수 있다.

종종 러시아 사이버 조직이 개시하는 랜섬웨어가 의료 복지 시설에 초래하는 위험한 여파를 살펴보는 데는 오랜 시간이 걸리지 않는다. 2024년 6월, 병리학 서비스 공급사 시노비스(Synnovis)에서 랜섬웨어 피해가 발생하자 런던 병원 여러 곳에서 수술 1,100건과 진료 예약 2,194건 이상 취소되었다. 영국 국민보건서비스(NHS)가 공개한 데이터에 따르면, 진료 예약 취소 사례 중에는 암 진단 예약도 있었으며, 혈액 검사 건수도 감소했다. 50곳이 넘는 장기 진료 예약 환자도 다른 병원으로 진료 예약을 변경해야 했다.

미국 병원의 랜섬웨어 공격 여파를 조사한 뒤 랜섬웨어 공격 발생 시 사망률이 상승한다는 결론을 내린 미네소타대학교 보건정책 부교수 한나 네프라쉬(Hannah Neprash)는 “랜섬웨어 공격이 환자에게 피해를 준다는 사실을 확실히 말할 수 있다”라며, “병원에 랜섬웨어 피해가 발생하여 병원 예약이 승인되었다면, 병원을 찾은 뒤 진료를 받지 못하고 발길을 돌릴 수도 있다. 피해가 오래 이어질수록 환자의 건강에는 더 심각한 영향을 미치게 된다”라고 말했다.

랜섬웨어 공격 발생 직후 몇 시간, 며칠 동안 공격 표적이 된 기관과 연결된 소프트웨어를 사용하는 기업이 서비스 접속 장애를 겪는 일은 흔한 일이다. 랜섬웨어 공격 발생 시 의료 기록 연결 장애부터 사이버 공격 피해자의 메일 수신 거부까지 각종 문제가 발생할 수 있다. 이른바 확인 서한이 필요한 부분이다.

법무법인 노튼로즈풀브라이트(Norton Rose Fulbright) 사이버 보안 및 프라이버시 글로벌 책임자 크리스 시와리나(Chris Cwalina)는 “합의 방안을 찾는 변호인단의 집단 소송부터 기업 간 소송까지 랜섬웨어 관련 소송 사례가 급격히 증가하면서 지난 몇 년간 랜섬웨어 공격 후 확인 서한 수요도 증가했다”라고 전했다.

시와리나는 확인 서한 전송 관행이 시작된 곳과 시기를 확신하지 못하지만, 법률 요구사항이나 막고자 하는 위험성을 제대로 이해하지 못한 변호사나 보안 전문가 사이에서 시작되었을 가능성이 있다고 생각한다. 그는 “시스템 재연결 상태가 되기 전 랜섬웨어 증명 서류를 요청하거나 확보해야 한다는 법률 요구 사항은 없다”라고 설명했다.

확인 및 증명 서류는 종종 랜섬웨어 대응을 위해 위임된 사이버 보안 전문 기업의 지원 사항을 압축하는 내용으로 작성된다. 시스템 재연결 사항과 시점 모두 공격 발생 상황마다 제각각이다.

그러나 상당수 의사 결정 과정이 위험성을 다루거나 적어도 인지된 위험성을 다룬다. 구글 소유 사이버 보안 기업 맨디언트(Mandiant)의 최고 기술 책임자 찰스 카마칼(Charles Carmakal)은 많은 기업이 랜섬웨어 조직이 피해 기관과 피해 기관의 시스템을 향해 공격을 개시할 가능성을 우려한다고 설명했다. 랜섬웨어 피해가 발생한 기업은 자사 시스템의 보안 상태가 안전하면서 사이버 공격 세력의 시스템 접근 권한이 사라진 사실을 확인하고자 한다는 설명도 덧붙였다.

카마칼은 “확인 과정을 진행하는 원인을 이해한다. 두 기관 간의 연결성 수준과 관련한 위험성을 고려할 필요성이 있다는 점을 말하고자 한다. 간혹 사이버 보안을 위해 시스템 연결 시 가장 제한된 경로를 기본 설정으로 택하는 경향이 있다”라고 전했다. 그 예시로 맨디언트가 피해 기관 한 곳에서 다른 피해 기관으로 전염되는 랜섬웨어 공격을 발견한 사례는 이례적인 사례였다고 언급했다.

틸만은 “공급사는 독립된 외부 사이버 보안 전문가가 스크립스 기술팀에 합류하여 멀웨어가 시스템에 포함된 사실과 최대한 합리적인 대응 방안을 마련할 방법을 알고자 하는 데 관심이 있었다”라고 말했다. 피츠패트릭은 어센션이 각각의 공급사와 직접 통화한 뒤 업데이트 사항을 제공한 웨비나를 8차례 진행했다고 전했다. 공격자가 시스템에 남긴 흔적 등 보안 침해를 시사하는 지표를 여러 보건 기관 및 미국 사이버보안 및 인프라안보국(CISA)와 공유하기도 했다.

외부 기관 원칙
지난 몇 년간 사이버 범죄 세력은 병원과 의료 기관을 공격 표적으로 삼는 더 공격적인 태도를 보였다. 일례로, 랜섬웨어 조직 록빗(Lockbit)은 병원을 겨냥한 공격을 반대한다는 규정을 두었다고 주장했으나 실제로 100곳이 넘는 병원에 피해를 주었다. 병원에 피해를 일으킨 랜섬웨어 공격은 종종 공공 기반 시설이나 의료 기관에 서비스를 제공하는 민간 기업에 직접 피해를 준다.

전직 미국 국립 사이버보안센터 소장인 시아란 마틴(Ciaran Martin) 옥스퍼드대학교 교수는 “몇 년을 앞서 가능성이 있는 위협 상황을 분석하면, 민간 부문에 피해를 준 사이버 범죄 활동이 원인이 된 공공 서비스와 공공 활동 장애가 앞으로 증가할 수 있다는 점을 예측할 수 있다”라고 설명했다. 마틴 교수는 정부 기관이 민간 기업에 랜섬웨어에 대응할 방식을 직접 지시하거나 지시할 필요성, 권한 등이 있는지 의문을 제기할 수도 있다고 언급했다.

미국 병원 협회(American Hospital Association) 사이버 보안 및 위험 국가 자문 위원 존 리기(John Riggi)는 연방 차원의 보건 복지 제공 기관 지원이 증가할 가능성을 이야기했다. 그는 “예를 들어, CISA가 연방 민간 네트워크 방어에 전념하는 일부 자원은 보건 복지 등 중요한 기반 시설 보호에도 전념하도록 적용 범위가 확장될 수 있다”라고 말했다.

시와리나는 랜섬웨어 확인 및 증명 서한을 요구하는 정보 대부분 피해자에게 직접 이야기하여 인식되었을 가능성을 언급했다. 그는 “서류는 궁극적으로 변호사가 랜섬웨어 피해를 검토하고 원인과 보호 대책을 입력한 뒤에만 입수할 수 있다. 실제로 증명 서류는 랜섬웨어 이후 시스템에 다시 연결해도 안전하다는 점을 확신하는 역할을 거의 하지 못하며, 다른 수단으로는 확보할 수 없다”라고 설명했다. 틸만은 소프트웨어 공급사와의 최대한 확립된 소통 과정을 권고했다.

사이버 보안 기업 엠시소프트(Emsisoft)의 위협 애널리스트 브렛 칼로우(Brett Callow)는 “사이버 보안 사건 대응 기업이나 CISA 관계자가 즉시 시스템에 다시 연결할 수 있다는 신호를 보낼 수 있는 상황이 되어야 한다”라며, “이 부분에서 가장 우려해야 할 부분은 환자의 안전이다. 병원이 환자 안전의 중요성을 인식하고, 안전한 방식으로 최대한 빠른 속도로 대응해야 할 필요가 있다. 심각한 관료주의는 도움이 되지 않는다”라고 지적했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Red Tape Is Making Hospital Ransomware Attacks Worse
이 기사를 공유합니다
RECOMMENDED