지난 4월 29일 대한병원정보협회(회장 한기태) 주최 춘계학술대회에서 트렌드마이크로 박운탁 이사는 ‘의료기관을 위협하는 랜섬웨어 방어 대책’을 주제로 발표를 진행했다. 최근 랜섬웨어 공격으로 인한 의료기관 피해가 증가하는 가운데 진행된 발표라 의료기관 보안담당자들의 큰 관심을 끌었다.
 
박 이사는 “악성코드는 컴퓨터 사용자에게 해를 끼치는 모든 코드를 총칭하는 단어로 랜섬웨어, 키로그, 루트킷, 백도어, DDoS, 웜, 스파이웨어, 트로이목마, 컴퓨터바이러스 등이 있으며 특히 최근 이슈가 되고 있는 랜섬웨어는 이름 그대로 감염자 컴퓨터의 데이터를 인질로 삼아 해당 데이터들에 접근할 수 없게 암호화를 걸고 잠금을 해제하는 키를 대가로 금품을 요구하는 악성코드를 통칭한다”고 설명했다. 이어 그는 랜섬웨어의 역사를 설명했다.

 
◇랜섬웨어의 역사
초창기 랜섬웨어는 2005년과 2006년 사이 러시아에서 처음 확인됐다. 명칭은 ‘TROJ_CRYZIP.A’이며 특정 유형의 파일들을 압축한 후 덮어쓰기, 이로써 사용자의 시스템에는 암호가 설정된 zip 파일들만 남게 된다. 300달러를 지불하면 파일을 복원시켜 주겠다는 노트패드를 실행한다.  
 
2013년 초 유럽 전역과 미국, 캐나다 등지로 확산됐다. 법 집행기관을 가장한 랜섬웨어가 주를 이뤘고 랜섬웨어 변종 생성 및 웹사이트 감염을 통해 확산됐다. 또 다양한 지불방식을 이용하고 시스템이 레베톤 변종에 감염되면, 사용자는 UKash, PaySafeCard 또는 MoneyPak으로 비용을 지불해야 했다. 범죄자들의 익명성을 보장하고 추적이 불가능하도록 장치도 마련했다. 대표적으로는 TROJ_RANSOM.BOV, 레베톤 또는 폴리스 등이다.
 
2013년 말, 전세계를 대상으로 랜섬웨어가 기승을 부리기 시작했다. 대표적으로CryptoDefense, 또는 Cryptorbit, TROJ_CRYPTRBIT.H 등이다. 특징으로는 시스템을 잠그는 것 외에도 파일들을 암호화하고 멀웨어가 삭제되었더라도 사용자는 비용을 지불해야만 한다. 비용을 지불해야 암호화된 파일들을 해제할 수 있다. 데이터베이스, 웹, Office, 동영상, 이미지, 스크립트, 텍스트 및 그 밖의 non-binary 파일들을 암호화하고 암호화된 파일을 복구하지 못하도록 백업 파일을 삭제한다.
 
2015년 이후부터는 BitCrypt, TROJ_CRIBIT.A 등이 대표적 랜섬웨어로 암호화폐(비트코인) 절도와 같은 다른 전술과 결합되기 시작했다. 암호화된 파일에 ‘.bitcrypt’이라는 확장자를 첨부하고 영어로만 된 금품 요구 메시지를 사용한다. 변종인 TROJ_CRIBIT.B는 10가지 언어로 된 다국어 금품 요구 메시지를 사용한다. 페어릿(FAREIT) 정보 절도의 변종인 TSPY_FAREIT.BB는 암호화폐 지갑의 정보(거래 기록, 사용자 선호도 및 계정)를 탈취한다.
 
◇의료기관을 대상으로 한 랜섬웨어 활동 증가
또 의료기관을 대상으로 주로 활동하는 랜섬웨어는 3가지다. △CryptoLocker는 시스템 암호화가 아닌 데이터 암호화를 실행하고 △Locky는 e-mail 첨부 파일 또는 URL링크 등을 통해 감염시킨다. △SamSam은 네트워크로 연결된 타 컴퓨터의 데이터 암호화 및 백업을 파괴한다. 올해들어 랜섬웨어의 의료기관 공격이 더욱 증가하고 있다.
 
2016년 2월 미국 Hollywood Presbyterian Medical Center는 2월 5일 크립토락커 랜섬웨어 공격으로 병원 시스템이 마비됐다. 병원시스템이 암호화돼 환자 진료기록 접근이 불가능해 2주간 병원 업무가 마비된 사건이다. 이 병원은 공격자들에게 1만7천달러를 지불하고 병원시스템을 정상화시킬 수밖에 없었다.
 
3월에는 독일 Klinikum Arnsberg 병원에서 이메일 첨부파일을 통해 랜섬웨어가 침투해 데이터를 암호화 시켰으며 독일 Lukas Hospital도 병원 정보시스템에 랜섬웨어 감염으로 시스템 접속이 안됐다. 2주 이상 병원 시스템이 마비됐다.
 
캐나다 Norfolk General Hospital도 지난 3월 웹포털 취약점을 이용해 병원 웹사이트를 통해 랜섬웨어가 유포됐다. 접속 고객 및 임직원이 랜섬웨어에 감염돼 병원이 업무가 힘들어진 사고다.
 
또 캐나다 Ottawa Hospital도 3월에 네트워크 상의 컴퓨터 랜섬웨어 감염이 이루어졌지만 조기 발견으로 전원을 차단하고 드라이브 포맷을 해 간신히 막은 경우도 있다.
 
박운탁 이사는 “랜섬웨어 공격자들에게 데이터는 돈이다. 기존에는 일반기업, 금융기관, 정부기관을 대상으로 공격했지만 이제는 타 분야에 비해 정보 민감도가 높고 대체 불가한 개인정보를 가진 의료기관의 의료기록 등 복원되지 않을 경우 진료에 직접적 차질을 빚을 수 있는 의료기관을 타깃으로 하고 있다. 의료기록 정보는 신용카드 정보에 비해 약 20배 이상의 가치를 가지고 있는 것으로 언더그라운드 마켓은 판단하고 있다”고 설명했다.
 
또 랜섬웨어를 예방하기 어려운 이유에 대해 그는 “백신 업데이트 보다 빠른 악성코드의 진화, 랜섬웨어 변종 개발 정보 공유, 백신에 대응하는 치밀한 공격 방식 연구, 랜섬웨어의 대부분이 해외에서 개발 및 시작된다는 점이다. 또 공격 목표를 정한 맞춤형 e-mail 발송 등의 이유로 예방이 어렵다”며 “랜섬웨어 감염경로는 이메일 내 첨부파일이 40% 정도로 가장 높고 이메일 내 URL 연결이 37% 정도, 다음이 악성 웹사이트 방문 등의 순이다. 즉 랜섬웨어 감염의 77% 이상이 이메일을 통해 이루어진다”고 말했다.
 
이어 박 이사는 “이메일 보안솔루션을 통해 이메일 첨부파일을 통해 유입되는 악성코드 및 악성URL을 탐지하고 차단해야 한다. 또 악성코드 유입 및 CNC서버 접속 과정에 대한 보안위협 정보와 행위기반 분석을 통한 신, 변종 악성코드 탐지가 네트워크와 엔드포인트에서 이루어져야 한다. 국내 의료기관의 적극적인 대처가 시급하다”고 조언했다.
 
한편 데일리시큐는 오는 5월 17일 국내 최대 의료기관 개인정보보호 및 정보보안 컨퍼런스(MPIS 2016)를 개최한다. 국내 국공립, 대학, 대중소 병의원 개인정보보호와 정보보호 실무자들이 대거 참석하는 자리다. 의료기관 보안실무자들에 올해 가장 필요한 보안실무 내용들에 대한 발표와 최신 보안솔루션 전시회도 함께 개최된다. MPIS 2016은 의료기관 실무자 이외에는 참석이 제한된다.
- MPIS 2016 사전등록: dailysecu.com/mpis2016/index.html
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com