병원 잠그고 ‘몸값’ 요구…테러범처럼 악랄해진 해커들 [테크토크]

네트워크 잠그고 몸값 요구하는 사이버 범죄
최근 '의료 시설' 표적 랜섬웨어가 기승 부려
"의료와 보건은 범죄자에게 매력적인 타깃"

컴퓨터 네트워크를 장악해 그 누구도 이용할 수 없도록 데이터를 암호화한 뒤, 이를 푸는 '암호 키'를 내주는 대가로 금품을 요구하는 해킹을 랜섬웨어라고 합니다. 코로나19 이후 비대면 서비스가 활성화하면서 랜섬웨어 범죄도 기승을 부리기 시작했습니다.

최근 랜섬웨어는 더욱 악랄하고, 비도덕적인 범죄로 변질하고 있습니다. 이제는 의도적으로 병원, 의원 등 의료시설을 집중적으로 노리기 시작했습니다. 사람의 생명과 직결된 의료기관일수록 해커 집단에 금품을 줄 가능성이 높기 때문입니다.

헌혈·수혈자 데이터를 밖에서 잠가 버렸다

헌혈하는 모습. [이미지출처=픽사베이]

지난달 3일(현지시간) 영국 국립보건서비스(NHS)에 환자 관련 정보를 제공하는 중소 IT 업체 '시노비스(Synnovis)'가 한 해커 집단에 랜섬웨어 공격을 당했습니다. 이로 인해 시노비스의 IT 플랫폼을 이용하던 여러 병원 전산 시스템이 마비됐습니다.

가장 큰 문제는 시노비스가 제공하던 혈액 테스트 및 수혈 데이터였습니다. 수혈하려면 헌혈자와 수혈자의 혈액 정보를 미리 알아야 합니다.

오늘날 대부분의 병원은 전산화된 데이터 뱅크에 이런 정보를 저장해 두고 있는데, 해커들은 의도적으로 헌혈 관련 정보를 암호화해 아무도 볼 수 없도록 잠근 겁니다. 혈액 팩은 충분히 저장돼 있지만, 정작 당장 수혈받아야 하는 위급한 환자에게 피를 제공할 수 없는 아이러니한 사태가 벌어졌습니다.

직접적으로 '생명' 노리기 시작한 랜섬웨어 집단

[이미지출처=픽사베이]

랜섬웨어는 컴퓨터 네트워크에 악성 코드를 심어 중요 데이터나 제어 권한을 '잠그는' 범죄입니다. 보통 잠겨진 시스템을 풀 수 있는 암호, 내지는 전자 '키'를 제공하는 대가로 금품을 요구합니다. 노련한 해커 집단은 정보 당국이 추적하기 힘든 암호화폐를 주 거래 수단으로 삼기도 합니다.

랜섬웨어 공격이 활성화된 건 어제오늘 일이 아니지만, 코로나19 이후로 더욱 활개 치고 있습니다. 공격자들의 주요 목표는 항상 '시민의 삶에 가장 큰 영향력을 미칠 수 있는 곳'이었습니다. 즉, 관공서나 발전소, 은행 등 필수 기반시설이 표적이었습니다.

하지만 최근에는 시노비스 사례처럼 의료기관이나 의료 서비스 기업의 보안 취약점을 파고드는 사례가 늘고 있습니다. 그 이유는 병원일수록 더 많은 대가를 받을 가능성이 높기 때문이라고 합니다.

의료 부문은 '몸값' 더 높게 쳐줄 의향 높은 곳

현재 각국 정부 정보기관이나 수사당국은 랜섬웨어 공격에 대해 '협상하지 않는 것'을 원칙으로 삼습니다. 공격자가 원하는 만큼 대가를 지불하다 보면 사이버 범죄자들은 더욱 랜섬웨어 공격에 골몰할 테고, 이후엔 더 큰 대형 공격으로 이어질 위험이 높기 때문입니다. 차라리 잠긴 시스템을 포기하고 새로 구축하는 한이 있더라도 범죄자들과의 협상 테이블에 나서지 않는다는 게 기본 전략이었습니다.

실제 블록체인 분석 전문 업체 '체인애널리시스'가 분석한 바에 따르면, 2022년부터 랜섬웨어 공격자에 피해자가 지불한 금액은 감소하기 시작했습니다. 이 해에 랜섬웨어 피해액은 4억5680만달러(약 6300억원)로, 직전 해(7억6560만달러·약 1조원) 대비 40%가량 하락한 수치입니다.

랜섬웨어는 데이터 접근 권한을 막아버린 뒤 암호 키를 대가로 금전을 요구하는 범죄다. [이미지출처=픽사베이]

그러나 최근 들어 랜섬웨어 공격자들은 더욱 악랄하게 변하고 있습니다. 이제는 다른 필수 인프라보다 병원 시설에 대한 공격을 최고 우선순위로 삼고 있습니다.

영국 왕립합동군사연구소(RUSI)는 지난달 25일 발간한 보고서에서 공격자들의 이런 행동 원리를 상세히 분석했습니다. 랜섬웨어 공격자들은 대부분 순수한 비용-편익 분석에 따라 움직입니다. 즉, 자신들에게 걸린 리스크가 적고 보상이 큰 곳으로 움직인다는 뜻입니다. 의료 부문은 특성상 다른 산업군보다 공격자와의 협상에 응할 가능성이 크고, 몸값을 더 높게 쳐줄 의향도 높았다고 합니다.

RUSI는 "실제로 블랙캣 같은 일부 랜섬웨어 운영 그룹은 의료 서비스 업체 쪽으로 공격 집중도를 높이고 있다"며 "생사가 걸린 상황에서 운영되는 의료 서비스는 업무 중단에 취약하기에 매력적인 타깃"이라고 지적했습니다.

"의료 분야는 우선해서 지켜야 할 고위험 인프라"

RUSI는 의료, 보건 분야 시설과 업체를 다른 곳보다 우선한 '고위험 중요 국가 인프라'로 새롭게 규정해야 한다고 제언합니다. 랜섬웨어 공격자들이 의도적으로 의료 시설을 집중 공격하고 있으니, 국가의 사이버전 방어 능력도 의료 시설에 먼저 배분해야 한다는 뜻입니다.

RUSI는"의료는 테러리스트나 범죄 집단이 동시다발적으로 중요 인프라를 공격할 때 특히 취약한 곳"이라며 "단순히 일회성 범죄 위협 대응을 넘어, 체계적 공격에 대한 방어 대책이 필요한 때"라고 강조합니다.

임주형 기자 skepped@asiae.co.kr