Home > 전체기사

영국 국민보건서비스 해킹 사건, 조사해 보니 랜섬웨어가 배후에 있었다

입력 : 2024-06-26 01:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
영국 국민 다수가 등록되어 있는 의료 서비스인 국민보건서비스가 해킹 공격에 당했다. 혈액 검사를 대행해주는 서드파티 업체에서 피해가 있었던 것인데, 아직까지는 이번 사건에 대해 알려진 것보다 비공개로 처리된 것이 더 많다.

[보안뉴스 문정후 기자] 영국의 국민보건서비스(NHS)가 대규모 사이버 공격에 당했다. 보다 정확하게는 NHS와 연계하여 혈액 검사 등을 실시 및 처리하는 병리학 전문 연구실인 시노비스(Synnovis)가 당한 것이다. 공격자들은 훔쳐간 데이터 중 일부를 다크웹에 공개했으며, 이를 통해 NHS와 시노비스, 영국 국가범죄청이 사건을 인지해 조사하기 시작했다.

[이미지 = gettyimagesbank]


NHS가 공식 웹사이트를 통해 사건에 대해 알린 건 6월 21일부터다. 그 후 이 사건의 공지 페이지는 꾸준히 최신화 되고 있다. 첫 번째 공지는 6월 21일 오전 9시에 업로드 됐다. 시노비스의 데이터라는 주장과 함께 어떤 데이터가 공개되었다는 내용이었다.

그러면서 “여러 관계사와 유관 기관의 협조로 사건을 조사하고 있으며 해당 데이터의 진위 여부를 확인 중에 있다”고 NHS는 알리고 있다. 특히 “정말로 공격자들의 데이터가 시노비스에서 나온 것인지, 또한 NHS 환자들과도 관련이 있는 것인지 불안할 것임을 익히 이해하고 있다”고 설명한 부분이 눈에 띈다.

그러더니 NHS는 같은 날 오후 4시에 또 다른 공지를 올렸다. 모든 내용이 이전 공지와 똑같은데, 불안한 사용자들을 위해 긴급히 전화 상담 서비스를 개설했다는 내용이다. 또한 이번 사안과 관련된 내용이 추가될 경우 이 공지 페이지를 통해 제일 먼저 알릴 것이라고 덧붙이기도 했다. 즉 공격자들이 훔쳐간 정보가 정말로 시노비스에서 나온 정보가 맞는지, NHS와 관련이 있는 것인지를 알려면 공지를 확인하라는 것이다. 또한 환자들은 평상시와 다름 없이 진료를 받을 수 있다고도 안내했다.

그런 후 3일 동안 아무런 공지가 올라오지 않았다. 그리고 영국 기준 24일 오후 5시, 새로운 공지가 업로드 됐다. 첫 문장에서부터 ‘랜섬웨어’라는 새로운 단어가 나타난다. 시노비스의 시스템들이 랜섬웨어 공격에 당했고, 이에 대응하기 위해 NHS가 시노비스는 물론 국가범죄청과 함께 수사 작업을 이어가고 있다는 내용이다. 시노비스도 범죄자들이 가지고 간 데이터가 무엇인지 별도로 확인하고 있다고 NHS는 덧붙였다.

이 시점부터 “영국 NHS가 랜섬웨어 공격에 당했다”는 내용의 보도가 대대적으로 나오기 시작했다. 지난 3일 동안은 사이버 공격이 의심되는 정황이 있긴 했으나 확인되지는 않았기 때문에 기사의 어조가 그리 명확하지 않았었다. 하지만 NHS와 시노비스가 인정을 한 다음부터는 여러 매체들이 해당 사실을 급히 타전했다. 또한 시노비스에서 실시한 혈액 검사 결과들이 저장된 시스템에 공격자들이 도달한 것으로 보인다는 내용도 확인되었다.

하지만 정확한 피해 규모와, 사건에 영향을 입은 개개인을 파악하는 데에는 시간이 걸릴 것이라고 NHS는 알렸다. 사이버 공격의 특성상 진위 파악이 대단히 복잡하고, 따라서 검토해야 할 데이터가 너무 많기 때문이라고 NHS는 해명했다. “이런 일의 정확한 사안을 파악하는 데에는 수주의 시간이 족히 걸립니다. 그 동안 환자분들은 평소처럼 진찰과 의료 서비스를 받을 수 있습니다.”

그렇다고 해서 공격자들의 주장이 전부 사실이라고 확인된 것은 아니다. 시노비스는 별도의 공지문을 통해 현재까지 밝혀진 내용과, 미리 사실로 받아들이면 안 되는 것들, 즉 명확히 확인되지 않은 사안들을 짚어냈다. 이는 다음과 같다.

1) 시노비스 내 실험실정보관리시스템(Laboratory Information Management Systems)과 연계된 데이터베이스와, 공격자들이 다크웹에 올린 데이터베이스가 정확히 일치한다고 말할 만큼 조사가 진행되지 않았다. 따라서 공격자의 주장이 전부 사실이라고 확신할 수 없다.

2) 다만 시노비스 관리자가 실제로 활용하는 드라이브가 일부분 조각난 형태로 다크웹에 올라간 것은 사실이다. 때문에 일부 환자 정보가 포함되어 있을 수밖에 없고, 특히 개인 식별 정보도 섞여 있다. 현재 이 부분에서 피해가 어느 정도인지 정확히 파악하는 걸 최우선 순위에 두고 작업을 진행하고 있다.

3) 직원들의 급여와 관련된 정보는 아직까지 공개되지 않은 것으로 보인다. 하지만 직원들의 다른 정보들은 이미 공개되어 있는 상황이다. 정확히 어떤 피해가 있는지를 파악하는 일이 남아 있다.

시노비스와 NHS 양측 모두 랜섬웨어 단체의 이름을 밝히지 않고 있으며 공격자들로부터 어떤 요구가 있었는지, 거기에 어떻게 응할 것인지 등은 공개하지 않고 있다. 명확히 어떤 정보가 피해자들 손에 넘어갔는지도 구체적으로는 밝히지 않았다. 이 때문에 공지가 여러 번 올라왔지만 풀리지 않는 의문들이 너 많이 남아있는 상황이다.

공격자들이 환자들의 개인정보와 혈액형 정보를 가져갔을 경우 환자들은 후속 사이버 공격에 노출된다. 각종 개인정보와 식별 정보를 결합했을 때 2차 가해는 대단히 정교해질 수 있으며, 따라서 피해자들이 속을 확률은 더 높아진다. 이 때문에 의료 기록은 공격자들이 가장 원하는 것 중 하나이며, 의료 기관들에 대한 사이버 공경이 심각한 사회 문제로 강조되기도 한다. 이번 사건으로 NHS의 환자들은 더욱 경계 태세를 강화하여 후속 공격에 대처해야 한다는 소리가 나오고 있다.

서드파티 해킹 사고는 여러 중요한 기관과 기업들을 괴롭히고 있는데도 아직 이렇다 할 해결책이 등장하지 않은 상황이다. 현재까지는 갑을 관계의 기업들이 계약을 맺을 때 보안 관련 조항을 최대한 구체적으로 넣는 것이 권장되고 있다.

3줄 요약
1. 지난 주부터 영국 NHS의 데이터가 탈취된 것 같다는 이야기가 나옴.
2. 그것이 오늘에 와서 사실이었던 것으로 확인됨.
3. 영국 NHS 등록된 환자들은 앞으로 정교한 사이버 공격에 노출될 예정.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)