이번엔 JP모건! 美 의료·금융 해킹 ‘암흑의 한주’

보수적이고 정보 많은 의료계, 소통 방법부터 고민 시작

같은 주에 금융계 큰손 JP모건도 뚫린 것으로 드러나

[보안뉴스 문가용] 지난주 CHS가 정보유출 사고를 겪은 후 대중은 미국 의료계의 보안문제에 주목하고 있으며 미국 의료계는 지금 비상사태에 돌입해 있다. 게다가 악명 높은, 그러나 꽤나 예전에 발견된 하트블리드 취약점이 이 사고에 주요한 역할을 했다는 것이 밝혀지면서 질타의 목소리가 높아지고 있다.

그래서 HITRUST(Health Information Trust Alliance, 건강정보신탁연합), FBI 관계자, DHS(국토안보부), HHS(보건사회복지성, 후생성), 의료보험 기업인 웰포인트(Wellpoint)가 모여 의료업계에 닥친 보안문제에 대해 심각하게 토론을 시작했다. 특히 정보의 공유 문제에 대해 상당한 시간을 할애한 것으로 밝혀졌다.

HITRUST의 CEO인 댄 멋키스(Dan Mutkis)는 이 회의에서 “많은 의료기관들이 이 사건을 관심 있게 지켜보고 있다”며 “단지 어느 정도의 피해가 있었는지를 넘어 어떤 방식으로 이 사건이 일어났으며 앞으로 어떻게 정보를 공유해야 이런 사건을 막을 수 있을지 궁금해 한다”고 의료계의 움직임을 전달했다. “하지만 당시 저희가 가지고 있던 정보만으로는 솔직히 아무런 답을 해주기 어려웠습니다.”

FBI의 특별수사관인 마이클 로사노바(Michael Rosanova)는 “사이버 공격에 대한 정보를 죄다 나누기가 곤란한 때가 있다”며 “특히 사설 기업 및 민간 단위의 업체와 하는 ‘정보 공유’라는 개념은 FBI로서는 굉장히 새로운 것이며, 따라서 미숙한 분야”라고 했다.

“FBI는 범죄와 국가 보안에 집중하는 기관이죠. 파워도 있었고요. 그래서 일방향 소통만 하면 됐습니다. 그런데 이제 그런 시대가 아닌 것 같다는 느낌이 강하게 듭니다. 일방향 소통이 아니라 파트너십 관계가 더 필요한 때입니다. 다만 아직은 파트너십을 유지하는 게 뭔지, 어떻게 해야 잘 할 수 있는지 알아가는 단계입니다.” HHS의 위협 정보 분석가인 제이슨 레이(Jason Lay) 역시 로사노바와 비슷한 의견이었다. HHS도 조직 단계에서 새로운 소통의 방법을 모색 중에 있다는 것이었다.

이는 일단 긍정적인 움직임이다. 특히나 늘 공격에 노출되어 있고, 보수적인 의료계에서 이런 목소리들이 나오고 있다는 것은 놀랍기까지 한 일이다. 웹센스의 통계 자료에 따르면 2013년 10월부터 병원을 대상으로 한 공격이 전 세계적으로 급격히 늘고 있어 2014년 8월에는 급기야 600%의 증가율을 보이기에 이르렀다.

웹센스의 부회장인 찰스 레너트(Charles Renert)는 “의료계에 종사하는 전문가들이 점점 환자의 입장에서 IT 보안 정책에 순응하고 있습니다. 인식의 전환이 일어나고 있다는 것이죠. 그만큼 병원과 IT 시스템이 밀접한 관계에 놓여있다는 것이고 그래서 정보유출 사고가 갖는 리스크가 점점 더 커지고 있다는 뜻이기도 합니다. 언젠가 이렇게 될 수밖에 없는 흐름이었고, 앞으로도 더 진행되어야 할 것입니다.”

의료계에서 다루는 정보의 특성상 공격이 더 많을 수밖에 없다는 사실은 웰포인트와 HITRUST도 이날 회의에서 동의하는 바였다. “마치 폭풍의 눈에 들어와 있는 듯한 느낌입니다. 의료계 종사자로서는 더 없이 중요한 시점이죠. 그런데 사실 이런 혼란의 핵심에 있는 ‘정보’란 것은 결국 환자에 대한 것이고, 그렇기 때문에 환자로서도 아주 중요한 시기입니다. 세상에는 환자 아닌 사람이 없기 때문에 이는 결국 우리 모두의 문제이기도 합니다.” 웰포인트의 CISO인 로이 멜링어(Roy Millinger)의 말이다.

의료계가 이렇게 시끄러운 가운데 금융업계의 큰손인 JP 모건 체이스에서도 유출사고가 있었다는 사실이 드러났다. 기업 이메일 제공업자인 프루프포인트(Proofpoint)가 JP 모건 체이스를 대상으로 한 피싱 메일 캠페인을 발견한 것이다. 이 공격은 현재 스매시 앤 그랩(smash and grab)이라는 이름으로 불리고 있다.

이번 공격에서는 소셜 엔지니어링이 활용되었으며 이런 공격이 통하지 않을 경우 다이어(Dyre)라는 은행 트로이목마를 활용해 로그인 정보 등을 훔쳐내는 데에 성공한 것으로 보인다. 현재까지의 조사 결과에 의하면 실제 공격은 지난 주 화요일에 일어났고 해당 일에만 150,000건의 피싱 이메일이 발송됐다.

ⓒDARKReading

[문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)