Home > 전체기사
대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고
  |  입력 : 2020-05-14 13:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
포춘 500대 기업이자, 임직원 1만 명 넘는 조직...일부 조직원의 개인정보 유출돼
랜섬웨어 공격자들의 ‘투트랙’ 전략, 메이즈로부터 유행하기 시작해 이제는 주류


[보안뉴스 문가용 기자] 포춘 500대 기업에 선정된 보험 업계의 강자 마젤란 헬스(Magellan Health)가 랜섬웨어 공격을 받은 후 데이터 유출까지 겪었다. 마젤란 헬스 측이 발표한 바에 의하면 사건이 발견된 건 4월 11일이지만, 꽤나 오랜 기간 공격이 이어졌었고, 랜섬웨어는 그 긴 캠페인의 가장 마지막 단계에서 나타난 것이라고 한다.

[이미지 = iclickart]


마젤란은 피해를 입은 것으로 추정되는 고객들에게 사과 및 고지 메일을 보내면서 “인증을 받지 않은 행위자가 마젤란의 시스템에 접근했다”고 알렸다. 이 메일에 따르면 공격자들은 4월 6일 마젤란의 고객사 중 한 곳을 사칭한 채 피싱 메일을 보냄으로써 공격을 성공시켰다고 한다. 사건을 인지한 직후 마젤란은 외부 사이버 보안 포렌식 전문 업체인 맨디언트(Mandiant)를 섭외해 조사를 의뢰했다. 그 결과 공격자들이 데이터를 먼저 빼낸 후에 랜섬웨어 공격을 실시했다는 사실이 밝혀졌다. 이 중에는 개인정보도 섞여 있다고 한다.

마젤란은 탈취된 것으로 보이는 개인정보에 대해서 “현재 근무자들 중 일부에 해당하는 사람들의 것”이라고 해명했으며, “로그인 크리덴셜과 이름, 주소, 직원 번호 등이 공격자들의 손에 넘어간 것으로 보인다”고 말했다. 하지만 일부의 경우 사회 보장 번호와 납세 ID도 도난당했다고 한다.

마젤란은 약 10500명의 임직원을 두고 있다. 이중 개인정보 도난 피해를 입은 ‘일부’가 몇 명인지는 정확히 밝히지 않고 있다. 다만 잠시 동안 시스템이 마비되었고, 기밀과 개인정보에 해당하는 데이터가 유출됐다고만 설명한다. 아직 수사가 진행 중이기 때문에 좀 더 확실한 내용이 나오면 추가 발표가 있을 예정이라는 약속이 덧붙긴 했다. 또한 당사자들에게 개별적인 연락을 취하고 있다고도 밝혔다.

최근 데이터를 빼낸 후 랜섬웨어 공격을 실시하는 사례가 급증하고 있다. 이는 메이즈(Maze)라는 랜섬웨어가 유행시킨 것으로, 피해자들이 공격자가 요구한 돈을 내지 않을 때 ‘정보를 온 세상에 공개하겠다’는 카드를 하나 더 거머쥐기 위해 취하는 방법이다. 메이즈를 따라 많은 랜섬웨어 운영자들이 이 전략을 구사하는 중이다.

예를 들어 클롭(Clop)이라는 랜섬웨어의 경우, 제약 회사인 엑세큐팜(ExecuPharm)을 공격하며 개인정보와 회사 기밀을 노출하겠다는 협박도 동시에 가했다. 엑세큐팜 직원 중 일부가 피싱 이메일을 잘못 열면서 공격이 시작된 것으로 알려져 있다.

한편 팬데믹 사태가 지속되는 가운데 마젤란 헬스가 랜섬웨어 공격에 당했다는 건 사이버 공격의 또 다른 이면을 보여준다. 왜냐하면 코로나가 유행하기 시작하면서 랜섬웨어 공격자들이 의료 기관에는 공격을 가하지 않겠다고 발표했기 때문이다. 이 때문에 일각에서는 ‘사이버 범죄자라고 하지만 그래도 최소한의 양심은 있는 자들’이라는 평가가 나오기도 했었다.

그러나 그런 선언이 있은 뒤에 랜섬웨어 공격은 전체적으로 급증했다. 조심하는 기색을 전혀 볼 수 없었다. 이 때문에 보안 전문가들은 ‘공격하지 않겠다는 발표를 함으로써 경계 태세를 느슨하게 만들고, 그 틈을 이용해 공격 수위를 높이려는 것 아니냐’는 의혹들이 불거지기 시작했다. 그런 와중에 이번 마젤란 사건이 터진 것이다.

당연하게도 현재 해외 보안 커뮤니티 내 여론은 ‘사이버 범죄자들의 약속이나 선언은 절대 믿을 것이 못된다’는 쪽으로 기울어지고 있다. 보안 업체 케르베루스 센티넬(Cerberus Sentinel)의 CEO인 데이비드 제멧은 외신인 스레트포스트와의 인터뷰를 통해 ‘범죄자들이 하는 말을 귀담아 듣는 것 자체가 보안 구멍이자 리스크’라고까지 표현했다.

3줄 요약
1. 대형 보험 회사인 마젤란 헬스, 랜섬웨어 공격에 당하고 데이터도 도난당함.
2. 최근 랜섬웨어 공격자들, 피해자에게 확실히 돈을 뜯어내기 위해 데이터를 빼돌리기까지 함.
3. 코로나 때문에 병원 공격 안 하겠다던 사이버 범죄자들, 역시나 퍽이나.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)