한국에서도 최근 병원을 타겟으로 한 사이버 공격이 급증한 것으로 관찰되었습니다. 아시아 다른 나라의 사례와 대만에서 이루어졌던 CrazyHunter 공격기법을 소개합니다.
이웃 싱가포르는 이제까지의 해킹사건 중 가장 큰 것으로 최대 의료 기관인 SingHealth의 사례를 꼽고 있습니다. 2018년, 국가 주요 인사들이 포함된 150만 명의 환자 개인 기록이 유출되었던 사건입니다. 이 기관은 침입의 초기 신호를 무시했습니다. 조사위원회에 따르면, 고위 관리자가 내부 압력에 대한 두려움으로 공격 보고를 지연시켰습니다.
이 침해는 국가 차원의 조사와 시스템 전반의 개편을 촉발했지만, 명성과 운영 측면의 피해는 이미 발생했습니다. 이 사건은 위험이 특히 높은 분야에서 조기 탐지와 내부 책임의 중요성을 강조했습니다.
의료 및 바이오테크가 고가치 표적이 되는 이유
과거에는 위협 행위자들이 병원을 공격 대상에서 제외했지만, 현재는 상황이 완전히 달라졌습니다. 해커들은 오늘날 병원을 단순히 공격 대상으로 삼는 것뿐 아니라, 그들이 보관하는 귀중한 데이터 때문에 ‘취약한’ 또는 ‘쉬운’ 표적으로 간주합니다. 그들은 많은 것을 잃을 수 있습니다.
그들의 디지털 생태계는 종종 방대하고 구형 인프라에 기반을 두고 있어 가시성이 불규칙하고 취약점을 통제하기 어렵습니다. 많은 시스템은 현대적 사이버 위협을 고려해 설계되지 않아 임상 및 연구 운영 전반에 걸쳐 일관되지 않은 보안 커버리지와 악용 가능한 취약점이 존재합니다.
주요 위험 요인:
민감한 데이터
혈액형부터 보험 정보, 의료 기록 및 결제 내역까지, 병원은 개인이 생성할 수 있는 가장 민감한 데이터를 관리합니다. 병원의 데이터가 유출되거나 손상되면 환자 치료 결과에 심각한 영향을 미칠 수 있습니다. 예를 들어, 환자 기록의 유출이나 부적절한 변경은 환자들에게 정신적 고통을 초래할 뿐만 아니라 생명을 위협할 수 있습니다.
예를 들어, 병원이 랜섬웨어 공격을 받고 해커가 특정 환자 파일의 세부 정보를 변경했다고 통보하지만, 랜섬을 지불할 때까지 어떤 파일인지 알려주지 않는 경우입니다. 이는 의료진이 약물 알레르기나 기존 질환 등 안전한 치료 계획을 수립하는 데 필수적인 정보를 담은 디지털 파일을 신뢰할 수 없게 되어 환자 치료에 심각한 우려를 초래합니다.
또한 환자 데이터가 유출될 경우 병원은 HIPAA 규정을 위반해 벌금이나 처벌을 받을 수 있는 다양한 문제를 직면할 수 있습니다. 이러한 모든 우려는 현장 치료의 품질 향상과 원격 치료 솔루션의 안전성 강화라는 혁신의 필요성과 균형을 맞춰야 합니다.
중요 의료 시스템 및 장치
더욱 우려스러운 점은 의료 시스템 및 장치의 보안 침해 가능성입니다. 이는 악의적인 간섭이나 소프트웨어 결함으로 인해 발생할 수 있습니다. 행정 소프트웨어부터 해킹된 인슐린 펌프, 심장 박동기 등 다양한 시스템과 장치가 침해될 경우, 전체 시설 네트워크에 동시에 영향을 미쳐 의사, 간호사, 행정 직원 등 의료진이 업무를 효과적으로 수행하지 못하게 될 수 있습니다.
이러한 상황에서는 의사들이 수동 치료와 기록 관리로 전환해야 할 수 있으며, 이는 프로세스를 지연시키고 치료나 수술이 연기될 수 있습니다. 이는 근로자의 근무 시간 연장 및 환자의 입원 기간 연장 등으로 이어져 모든 관련자의 운영 비용이 증가할 수 있습니다.
제3자 위험
현대 의료 생태계는 의료 기기 제조사부터 전자 기록 제공업체, 청구 파트너까지 다양한 파트너로 구성되어 혁신의 기회를 제공하지만 동시에 공급망 위험을 높일 수 있습니다. 예를 들어, 오늘날의 병원들은 진단 실험실과 같은 다양한 제3자 업체와 협력합니다. 한 병원은 다양한 검사를 위해 여러 실험실과 거래할 수 있습니다. 이러한 실험실들은 환자 정보, 보험 정보, 결제 세부 사항 등을 수집하며, 이는 위협 행위자가 침투하거나 소프트웨어 결함이 상호 의존적인 시스템에 혼란을 일으킬 수 있는 기회를 제공할 수 있습니다.
환자 정보가 여러 제공업체를 통해 광범위하게 수집되기 때문에 전자 의료 기록은 위협 행위자의 주요 표적이 됩니다. 2024년 Mobile Security Index (MSI)에 따르면, 의료 분야 응답자의 약 64%가 조직에서 전자 환자 기록에 대한 원격 접근을 허용한다고 답했습니다. 이 관행은 팬데믹으로 인해 급격히 증가한 텔레헬스의 확산과도 맞물려 있습니다. 소규모 조직은 성숙한 사이버 보안 프로그램을 갖추기 어려운 경우가 많습니다. 환자 기록이 데이터 공급망에 분산될수록 침해 위험은 증가합니다.
의료 정보에 접근할 수 있는 제3자를 신중하게 평가하는 것은 매우 중요하지만, 내부 접근 통제를 엄격히 관리하는 것도 마찬가지로 중요합니다.
접근 통제
의료 분야에서는 악의적 또는 비악의적 행위자로부터 내부에서 발생하는 보안 위협도 존재합니다. 악의적 내부 행위자의 증가 추세가 관찰되고 있지만, 더 큰 내부 사이버 보안 도전 과제는 오히려 악의적이지 않은 요소에서 비롯됩니다. 정보 유출의 주요 원인 중 하나는 잘못 전달된 이메일 등을 통해 발생하는 정보 유출입니다.
이 위험은 누군가가 실수로 또는 고의로 잘못된 정보를 공유할 때 발생합니다. 이를 해결하기 위해 강력한 접근 제어는 필수적이며, 특히 의료 환경에서는 더욱 중요합니다. 이러한 제어는 병원 관리자가 접근해서는 안 되는 민감한 데이터에 접근하지 못하도록 하며, 의사들도 자신의 역할에 필요한 정보에만 접근할 수 있도록 제한합니다.
역할과 부서에 따라 접근을 제한함으로써 의료 기관은 악의적인 행동과 실수로 인한 정보 유출(예: 잘못 전달된 이메일)의 위험을 줄일 수 있습니다. 또한 이러한 통제는 제3자와의 정보 유출을 방지하는 데도 도움이 되며, 이는 심각한 결과를 초래할 수 있습니다.
디지털 헬스케어 유지
의료 분야는 환자 안전, 데이터 개인정보 보호 및 운영 연속성에 심각한 영향을 미칠 수 있는 다양한 사이버 보안 위협에 직면해 있습니다. 의료 기관은 엄격한 액세스 제어, 철저한 제3자 위험 관리 및 명확히 정의된 사고 대응 계획을 포함한 강력한 사이버 보안 조치를 구현하여 이러한 위험을 선제적으로 대응해야 합니다. HIPAA 규정 및 기타 관련 데이터 개인정보 보호 법규에 대한 엄격한 준수는 필수적입니다.
의료 분야의 평균 데이터 유출 비용은 약 $1000만 달러로, 다른 산업보다 높습니다. 피해는 즉시 복구 비용을 넘어 장기적 생존 가능성, 투자자 신뢰, 이해관계자 신뢰를 위협합니다.
이러한 도전 과제에 대응하기 위해 의료 및 바이오테크 조직은 공격자가 공격하기 전에 조기 경보 능력을 강화하고 침투 경로를 줄여야 합니다. 외부 및 내부 공격 표면 관리(EASM 및 IASM)는 취약점을 탐지하고 신속히 대응하기 위한 가시성을 제공합니다.
엔드포인트 탐지 및 대응(EDR)은 여전히 역할을 하지만, 이는 반응형이며 자격 증명 도용이나 약한 비밀번호 로그인 등을 자주 놓칩니다. EASM과 IASM을 중심으로 한 다층 방어 체계는 위협이 위기 상황으로 확대되는 것을 방지하기 위해 필수적입니다.
최근 발생한 주요 보안 침해 사례는 가시성이 부족할 때 발생하는 결과를 보여줍니다. 운영상의 취약점이 전략적 실패로 급속히 악화될 수 있다는 경고를 제공합니다.
23andMe 침해 사건이 드러낸 더 큰 문제
2021년, 미국의 유망한 DNA 테스트 회사인 23andMe는 낙관적인 분위기 속에서 공개 시장에 진출해 $60억 달러의 최고 평가 가치를 기록했습니다. 2023년에 그 낙관론은 무너졌습니다. 공격자들은 재사용된 비밀번호를 통해 고객 계정에 접근해 700만 명의 유전적 및 개인 정보를 노출시켰습니다. 이 침해는 5개월 동안 발견되지 않았습니다.
다음 해, 법적 압력과 대중의 비판이 고조되자 23andMe는 $3000만 달러의 합의금을 지급하기로 동의했습니다. 하지만 피해는 이미 입었습니다. 2025년 3월, 해당 기업은 파산 신청을 제출했으며 CEO는 사임했습니다. 조용히 시작된 침해 사건은 결국 붕괴로 끝났고, 탐지가 실패하고 리더십이 준비되지 않았을 때 어떤 일이 일어날 수 있는지 냉혹하게 상기시켜 주었습니다.
이 공격으로 조상 및 관계 정보 등 매우 개인적인 데이터가 유출되었습니다. 고객, 규제 당국 및 투자자들은 신뢰를 잃었습니다. 몰락은 빠르게 진행되어 회사는 재건할 기회를 잃게 되었습니다.
CrazyHunter
2025년 초, CrazyHunter라는 랜섬웨어 그룹이 대만 내 조직을 표적으로 삼기 시작했습니다. 병원, 대학, 제조업체 등이 공격 대상에 포함되었습니다. 이 그룹은 공격 도구 키트를 거의 완전히 오픈소스 도구로 구성했으며, GitHub와 같은 플랫폼을 통해 악성 소프트웨어 빌더와 회피 기술을 접근했습니다.
그들의 가장 파괴적인 전술 중 하나는 합법적이지만 취약한 소프트웨어 드라이버를 악용해 엔드포인트 보호를 우회하는 것이었습니다. 그들의 랜섬웨어 캠페인은 중요한 시스템을 암호화하고 지불을 요구하는 메모를 남겼으며, 대만 피해자 다수가 그들의 유출 사이트에 목록으로 게시되었습니다.
트렌드마이크로는 “CrazyHunter의 도구 세트 중 약 80%가 GitHub에서 공개된 오픈소스 소프트웨어에서 유래했으며, 해당 그룹은 이를 자신의 목적에 맞게 수정했습니다”라고 관찰했습니다. 연구진은 해당 그룹이 사용한 세 가지 특정 도구를 식별했습니다.
ZammoCide는 특정 취약한 악성 소프트웨어 방지 드라이버의 높은 권한을 가진 프로세스(예: 엔드포인트 탐지 및 대응(EDR) 또는 안티바이러스 제품)를 종료하는 기능을 악용하는 프로세스 종료 도구입니다.
“실행 시, 이 도구는 기본 경로 폴더에 있는 취약한 Zemana Anti-Malware 드라이버(zam64.sys)를 찾아 고권한 프로세스를 종료하는 기능을 악용합니다,”라고 연구 보고서는 설명했습니다. “이후 ‘ZammOcide’라는 서비스를 생성하고 실행하며, 이 서비스는 드라이버를 로드하고 \\.\ZemanaAntiMalware에 장치 객체를 노출합니다. 사용자 모드 프로세스는 IOCTL 코드를 통해 드라이버와 통신하여 커널 모드 작업을 트리거해 프로세스를 강제 종료합니다.”
트렌드 마이크로는 해당 그룹이 Prince 랜섬웨어 빌더를 사용했다고 지적했습니다. 이 도구는 위협 행위자가 랜섬웨어 변종을 쉽게 생성할 수 있도록 합니다. 랜섬웨어는 파일을 암호화하고 화이트리스트에 포함되지 않은 파일에는 “.Hunter” 확장명을 추가하며, 랜섬 노트를 드롭하고 피해자의 데스크톱 배경을 랜섬웨어 테마로 변경합니다.
CrazyHunter의 캠페인은 조직이 조기 탐지 및 다층 방어 체계를 갖추지 못할 경우, 무료 오픈소스 도구를 사용하는 공격자가 여전히 심각한 혼란을 초래할 수 있음을 보여줍니다.
반응형에서 복원력으로
SingHealth와 23andMe는 도구가 부족해서 실패한 것이 아닙니다. 그들은 가시성과 복원력이 부족했기 때문에 실패했습니다. 이는 고립된 실패 사례가 아닙니다. 느린 신호와 분산된 감독이 조직 전체의 붕괴로 이어질 수 있음을 보여줍니다.
CrazyHunter 랜섬웨어 캠페인은 이 점을 다시 한 번 강조합니다. 무료 오픈소스 도구를 악용하고 엔드포인트 보호를 우회한 공격자들은 대만의 핵심 기관을 신속하고 정밀하게 공격했습니다.