데일리시큐는 5월 21일, 전국 국공립 의료기관 및 대학·민간 병원 개인정보보호 및 정보보안 책임자, 실무자 300여 명이 참석한 가운데 국내 최대 ‘2024 의료기관 정보보안 컨퍼런스’(MPIS 2024)를 더케이호텔서울 2층 가야금홀에서 성황리 개최했다.
이 자리에서 한국인터넷진흥원(KISA) 차세대암호기술팀 김준일 책임 연구원은 '의료기관 랜섬웨어 위협 대응 전략'을 주제로 강연을 진행했다.
먼저, 김준일 책임연구원은 랜섬웨어의 정의와 주요 공격 절차에 대해 설명했다. 랜섬웨어는 '몸값(Ransom)+소프트웨어(Software)'의 합성어로, 시스템을 잠그거나 데이터를 암호화하여 금전을 요구하는 악성 프로그램을 의미한다. 그는 파일 암호화, 대가 요구, 복호화 키 제공의 단계를 통해 랜섬웨어가 어떻게 작동하는지 소개했다.
랜섬웨어의 감염 경로는 다양해지고 있다. 초기에는 홈페이지나 이메일을 통해 사용자의 실수를 유도하는 방식이 주를 이뤘으나, 최근에는 웜이나 타겟형 공격 등을 통해 취약점을 활용하여 침투하는 방식이 증가하고 있다. 특히 패치가 이루어지지 않는 서버나 제로 트러스트 공격을 통해 랜섬웨어가 침입하는 사례가 늘고 있다고 설명했다.
김 책임은 랜섬웨어의 감염 증상으로는 파일 암호화, 문서 이미지 서버 파일 암호화, 화면 잠금, 부트 영역 암호화 등을 꼽았다. 이러한 증상으로 인해 재부팅이 불가능해지기도 한다.
그는 IC3(Internet Crime Complaint Center) 보고서를 인용해, 2023년에 225건의 랜섬웨어 사례가 접수되었으며, 피해 금액은 약 590만 달러 이상이라고 밝혔다. 그는 랜섬웨어가 의료 분야에 집중되고 있으며, 2022년에는 3위를 기록했으나, 2023년에는 블랙캣 등의 활동으로 인해 1위를 차지했다고 설명했다.
특히 블랙캣이 의료 기관을 집중적으로 공격하는 시점에서 랜섬웨어 피해가 급속도로 증가한 것을 표로 제시하며, 2023년 11월에는 블랙캣이 의료기관을 집중적으로 공격해 피해가 급증했다고 강조했다.
◆국내 랜섬웨어 피해 현황
국내 상황에 대해서는, KISA에 접수된 사건을 기준으로 설명했다. 한국의 경우 랜섬웨어 피해가 전년 대비 약간 감소했지만, 여전히 중소기업이 전체 피해의 92% 이상을 차지하고 있다. 중소기업의 경우, 투자 여력이 부족하여 랜섬웨어 공격에 취약하다고 분석했다.
김준일 책임은 악성코드 발생 건수 중 랜섬웨어가 90% 이상을 차지하고 있으며, 중소기업에서의 피해가 증가하고 있는 상황을 설명했다. 그는 국내 의료기관의 랜섬웨어 피해 현황에 대해서도, 2020년부터 의료기관을 대상으로 한 랜섬웨어 공격이 지속적으로 증가하고 있다고 밝혔다. 특히, 투자 여력이 부족한 병원급과 의원급 기관이 전체 피해의 75% 이상을 차지한다고 설명했다.
◆세계적 의료기관 랜섬웨어 피해 지속
그는 미국의 사례를 들며, 세계적인 랜섬웨어 위협 동향을 설명했다. 미국의 가톨릭 의료 시스템인 어센션(Ascension)은 2024년 5월에 19개 주 140개 병원에서 랜섬웨어 공격을 받았으며, 이로 인해 환자들을 구급차로 돌려보내고 비응급 진료 예약을 취소하는 등 큰 혼란이 발생했다고 전했다.
또한, 블랙캣 랜섬웨어 그룹이 미국의 유나이티드 헬스그룹 자회사인 체인지 헬스케어를 대상으로 한 공격 사례를 설명하며, 의료 시스템이 오프라인 상태가 되고 약국과 의료 시설에서의 처방 처리에 어려움을 겪었다고 말했다. 그는 이로 인해 2200만 달러의 몸값을 요구받았으나, 복구가 이루어지지 않았다고 밝혔다.
김준일 책임은 랜섬웨어 대응을 위한 국제 공조가 중요하다고 강조했다. 2024년 2월 19일, NCA와 FBI 등 국제 기관이 협력하여 세계 최대 랜섬웨어 조직인 락빗(RockBit)를 무력화한 사례를 소개했다. 이 과정에서 암호 해독 키를 포함한 데이터를 유출시키고 344개의 서버를 중단시키며, 조직원 두 명을 체포했다고 밝혔다.
또한, 국제 협력 프로젝트인 '노모어랜섬(No More Ransom)'을 통해 178개의 랜섬웨어 복구 도구를 개발하여 배포하고 있으며, KISA도 이에 참여하여 자체 개발한 랜섬웨어 복구 도구를 제공하고 있다고 설명했다. 김 책임은 한국인터넷진흥원이 노모어랜섬의 어소시에이트 파트너로 활동하며 랜섬웨어 복구에 힘쓰고 있다고 말했다.
◆의료기관, 랜섬웨어 증가 이유
마지막으로, 그는 랜섬웨어 예방 방안에 대해 설명했다. 그는 의료 분야의 공격 증가 이유로 구형 윈도우 사용, 패치 미적용, 긴급 의료 환자의 존재로 인해 몸값 지불 가능성이 높은 점을 꼽았다. 그는 병원의 출입 통제가 어려운 점, 동일한 의료 장비 사용으로 인해 취약점이 발견되면 모든 기관이 동일한 공격을 받을 수 있다는 점을 강조했다.
예방 방안으로는 멀티팩터 인증(MFA) 사용, 네트워크 분리, 지속적인 보안 교육, 보안 패치의 즉각적인 적용 등을 제안했다. 그는 중요한 자료는 별도의 백업 장치를 통해 정기적으로 백업하고, 출처가 불분명한 이메일과 메시지의 URL 링크를 실행하지 않도록 주의해야 한다고 말했다. 또한, 불법 다운로드를 통해 랜섬웨어에 감염될 수 있으므로 주의가 필요하다고 강조했다.
이어 김 책임은 랜섬웨어 감염 시 긴급 조치를 통해 피해를 최소화하고, 백업 자료를 통해 복구해야 한다고 말했다. 그는 감염 알림창과 암호화된 파일 화면을 캡처해 KISA에 신고하고, 복구 도구를 활용하여 복구를 시도해야 한다고 말했다.
김준일 책임연구원의 발표는 의료기관에서 랜섬웨어 위협에 대응하기 위한 다양한 전략과 예방 방안을 제시했다. 그는 "Never Trust, Always Verify"라는 제로 트러스트 원칙을 강조하며, 랜섬웨어에 대한 적극적인 대응과 예방이 필요하다고 강조했다.
보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
이번 MPIS 2024는 보건복지부, 대한병원정보보안협회 등의 후원으로 개최됐다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★