2020년 말에, 체크포인트는 병원 및 의료기관을 겨냥한 랜섬웨어 공격이 증가하고 있으며, 대부분의 공격이 악명높은 Ryuk 랜섬웨어를 사용하고 있다고 발표한 바 있다.
이는 사이버보안 및 인프라 보안국(CISA), FBI 및 국립보건서비스(NHS)가 발표한 합동 사이버보안 주의보(Joint Cybersecurity Advisory)에 따른 것으로, 해당 주의보는 미국의 병원과 헬스케어 제공 기관에 대한 사이버 범죄 위협이 증가하고 임박했음을 경고했다.
안타깝게도, 이 같은 사이버 범죄 위협은 지난 2개월간 더 악화됐다. 11월 초부터 전 세계적으로 의료기관을 표적으로 하는 공격은 45% 더 증가했다. 이는 같은 기간 동안 전 세계 모든 산업 부문에 가해진 사이버 공격의 전반적인 증가를 두 배 이상을 넘어서는 수치다.
공격의 증가에는 랜섬웨어, 봇넷, 원격 코드 실행 및 디도스 공격 등 다양한 종류의 벡터가 활용된다. 하지만, 랜섬웨어가 가장 큰 증가세를 나타냈으며, 다른 산업 부문과 비교했을 때 의료기관에 대한 멀웨어 위협 중 랜섬웨어가 가장 큰 비중을 차지한다. 병원 및 관련 기관에 대한 랜섬웨어 공격이 특히 피해가 큰 이유는 시스템에 어떤 장애가 발생했을 경우 해당 기관의 진료에 영향을 끼칠 수 있고, 생명에 위협이 되기 때문이다.
설상가상 이런 시스템들은 전 세계적인 코로나19 확진자의 증가에 대응하기 위한 압박에도 직면해 있다. 이는 몰인정한 범죄자들이 특별히 헬스케어 부문을 표적으로 삼고 있는 이유이기도 하다. 왜냐하면 범죄자들은 병원들이 본인들이 제시하는 요구사항을 들어줄 가능성이 더 높다고 생각하기 때문이다.
◈공격에 대한 전 세계적인 개요
•2020년 11월 1일부터 다른 산업 부문의 공격이 평균 22% 증가한 것에 반해, 전 세계적으로 의료기관에 대한 공격 건수는 45% 증가했다.
•헬스케어 부문의 주간 평균 공격 건수는 10월에 기관별로 430건이었으나, 11월에 626건에 도달했다.
•랜섬웨어, 봇넷, 원격 코드 실행 및 디도스가 활용된 공격은 모두 11월에 증가했으며, 다른 산업과 비교했을 때 랜섬웨어 공격이 가장 크게 급증세를 나타냈다.
•공격에 사용된 주요 랜섬웨어는 Ryuk이며 Sodinokibi가 그 뒤를 이었다.
◈지역별 공격 데이터
11월에 의료기관에 대한 공격이 중앙 유럽에서 145% 급증하며, 영향을 받은 지역 최상위를 기록했다. 137% 증가한 동아시아와 112% 증가한 라틴 아메리카 지역이 그 뒤를 이었다. 유럽과 북미지역은 각각 67%, 37% 증가했다.
특정 국가별로 보면, 캐나다에서 공격이 250% 이상 증가하며 가장 두드러지게 증가했으며, 그 뒤로는 220% 증가한 독일이 있다. 스페인은 공격이 두 배 늘어났다.
◈왜 지금 공격이 증가하는가?
위협 행위자들이 이런 공격을 하는 주된 동인은 금전적인 목적이다. 이들은 많은 액수의 금액을 신속하게 얻으려 한다. 이런 범죄를 저지른 범죄자들은 지난 1년간 공격을 통해 상당한 수익을 거둔 것으로 보이며, 이러한 성공으로 범죄자들은 더 많은 수익을 추구하게 됐다.
앞서 언급한 바와 같이 병원은 지금도 늘어나고 있는 코로나바이러스 확진자로 인해 엄청난 압박을 겪고 있으며, 이처럼 중요한 시기에 진료를 계속 제공하기 위해 몸값을 지불할 의사가 있다.
9월에 독일 당국이 발표한 바에 따르면, 악의를 가진 해커의 공격으로 인해 뒤셀도르프의 한 주요 병원에서 IT시스템 장애가 발생했으며, 긴급하게 입원을 해야 했던 한 여성이 치료를 위해 다른 병원으로 이송됐지만 끝내 사망했다. 그 어떤 병원이나 의료기관도 유사한 상황을 겪는 것으 원치 않을 것이므로, 장애를 최소화하기 위해 공격자의 요구사항을 기관이 들어줄 가능성은 늘어날 수 밖에 없다.
또한, Ryuk를 활용한 병원과 의료기관에 대한 공격은 대규모 스팸 캠페인이나 취약점 공격 키트를 활용해 널리 확산돼 있는 일반적인 랜섬웨어 공격과 다르게 구체적인 표적을 대상으로 한 맞춤형 공격이라는 점을 인지해야 한다.
Ryuk가 처음 발견된 것은 2018년 중반이며, 얼마 지나지 않아 체크포인트 연구소(Check Point Research)에서는 미국을 표적으로 했던 이 새로운 랜섬웨어에 대한 첫번째 심층 분석을 발표했다. 2020년 체크포인트 연구진들은 전 세계적인 Ryuk의 활동을 모니터링 했으며, 헬스케어 부문을 겨냥한 공격에서 Ryuk의 사용이 증가했다는 사실을 확인했다.
◈코로나19 시대 사이버 환경
팬데믹은 우리의 삶에 모든 측면에 영향을 줬으며, 사이버 보안 환경도 예외는 아니다. 코로나바이러스에 관련된 악성 도메인의 급증에서 피싱 및 랜섬웨어 공격시 관련 토픽의 사용, 심지어는 COVID 백신을 판매하겠다는 가짜 광고에 이르기까지 개인 데이터 침해, 멀웨어 확산 및 금전적 이득을 노리는 사이버 취약점 공격이 전례없이 증가하는 것을 지켜봤다.
의료 서비스 및 연구 기관은 가치 있는 상업적 혹은 전문적인 정보를 탈취하거나, 핵심적인 연구에 지장을 주기 위한 공격의 대상이 되고 있다. 예전 같았으면 프라이버시에 대한 강력한 반대에 부딪혔겠지만, 개인을 추적하기 위한 테스트 및 동선 추적 앱의 사용이 전 세계적으로 널리 받아들여지고 있으며, 팬데믹 이후에도 남아 있을 것으로 전망된다.
세계적 관심이 계속해서 팬데믹 대응에 집중되는 가운데, 사이버 범죄는 이러한 관심을 자신들의 불법적인 목적을 위하여 계속해서 활용하고 악용하려 할 것이다. 따라서, 조직과 개인 모두가 COVID 관련 온라인 범죄로부터 자신들을 보호하기 위해 사이버 위생(Cyber-Hygiene)을 잘 유지하는 것이 핵심이다.
◈랜섬웨어 및 피싱 공격 방지법
1. 트로이목마 감염을 찾아라
랜섬공격은 랜섬웨어에서 시작되지 않는다. Ryuk을 비롯한 기타 종류의 랜섬웨어 취약점 공격은 일반적으로 트로이의 목마 감염에서 시작된다. 많은 경우 이런 트로이의 목마 감염은 랜섬웨어 공격이 시작되기 며칠 혹은 몇 주 전에 시작되기 때문에, 보안 전문가들은 네트워크 상에서 트릭봇(Trickbot), 이모탯(Emotet), 리덱스(Dridex), 코발트 스트라이트(Cobalt Strike) 감염이 있는지 찾고, 위협 헌팅 솔루션을 사용해 이를 제거한다. 이들은 모두 Ryuk의 도화선이 될 수 있기 때문이다.
2. 주말과 휴일에는 방어를 강화하라
지난 1년간 대부분의 랜섬 공격은 IT 및 보안 인력이 업무 중일 가능성이 더 낮은 주말과 휴일에 발생됐다.
3. 안티랜섬웨어 솔루션을 사용하라
랜섬웨어 공격이 정교하지만, 치료(Remediation) 기능을 갖춘 안티랜섬웨어 솔루션은 효과적인 도구로 만일 감염이 발생할 경우, 불과 수 분 안에 조직이 정상 운용으로 되돌릴 수 있도록 한다.
4. 악성 이메일에 대하여 직원을 교육하라
잠재적인 랜섬웨어 공격을 식별하고 회피하는 방법에 대해 사용자를 훈련하는 것이 핵심적이다. 현재 많은 사이버 공격은 선별적인 피싱 이메일에서 시작한다. 하지만, 이메일에는 멀웨어조차 포함되어 있지 않으며, 다만 사용자들이 악성 링크를 클릭하거나 특정 정보를 제공하도록 유도하는 사회공학적(Socially-Engineered) 메시지만 담겨 있다. 이런 종류의 악성 이메일을 식별하도록 도와주기 위한 사용자 교육은 많은 경우 조직이 수행할 수 있는 가장 중요한 방어로 여겨진다.
5. 가상 패칭(Virtual Patching)
미국 연방정부는 구버전 소프트웨어 혹은 시스템에 패치를 적용하도록 권고하고 있다. 하지만, 병원에서는 많은 경우 이것이 불가능할 수 있으며, 시스템에 패치를 적용할 수 없다. 따라서, 우리는 취약한 시스템 혹은 애플리케이션의 약점을 악용하려는 시도를 방지하기 위해 가상 패칭 기능을 갖춘 침입방지시스템(Intrusion Prevention System, IPS)을 사용할 것을 권장한다. 업데이트 된 IPS는 조직이 지속적으로 보호될 수 있도록 도움을 준다. [글. 체크포인트]
★정보보안 대표 미디어 데일리시큐!★
