Home > 전체기사

대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고

  |  입력 : 2020-05-14 13:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
포춘 500대 기업이자, 임직원 1만 명 넘는 조직...일부 조직원의 개인정보 유출돼
랜섬웨어 공격자들의 ‘투트랙’ 전략, 메이즈로부터 유행하기 시작해 이제는 주류


[보안뉴스 문가용 기자] 포춘 500대 기업에 선정된 보험 업계의 강자 마젤란 헬스(Magellan Health)가 랜섬웨어 공격을 받은 후 데이터 유출까지 겪었다. 마젤란 헬스 측이 발표한 바에 의하면 사건이 발견된 건 4월 11일이지만, 꽤나 오랜 기간 공격이 이어졌었고, 랜섬웨어는 그 긴 캠페인의 가장 마지막 단계에서 나타난 것이라고 한다.

[이미지 = iclickart]


마젤란은 피해를 입은 것으로 추정되는 고객들에게 사과 및 고지 메일을 보내면서 “인증을 받지 않은 행위자가 마젤란의 시스템에 접근했다”고 알렸다. 이 메일에 따르면 공격자들은 4월 6일 마젤란의 고객사 중 한 곳을 사칭한 채 피싱 메일을 보냄으로써 공격을 성공시켰다고 한다. 사건을 인지한 직후 마젤란은 외부 사이버 보안 포렌식 전문 업체인 맨디언트(Mandiant)를 섭외해 조사를 의뢰했다. 그 결과 공격자들이 데이터를 먼저 빼낸 후에 랜섬웨어 공격을 실시했다는 사실이 밝혀졌다. 이 중에는 개인정보도 섞여 있다고 한다.

마젤란은 탈취된 것으로 보이는 개인정보에 대해서 “현재 근무자들 중 일부에 해당하는 사람들의 것”이라고 해명했으며, “로그인 크리덴셜과 이름, 주소, 직원 번호 등이 공격자들의 손에 넘어간 것으로 보인다”고 말했다. 하지만 일부의 경우 사회 보장 번호와 납세 ID도 도난당했다고 한다.

마젤란은 약 10500명의 임직원을 두고 있다. 이중 개인정보 도난 피해를 입은 ‘일부’가 몇 명인지는 정확히 밝히지 않고 있다. 다만 잠시 동안 시스템이 마비되었고, 기밀과 개인정보에 해당하는 데이터가 유출됐다고만 설명한다. 아직 수사가 진행 중이기 때문에 좀 더 확실한 내용이 나오면 추가 발표가 있을 예정이라는 약속이 덧붙긴 했다. 또한 당사자들에게 개별적인 연락을 취하고 있다고도 밝혔다.

최근 데이터를 빼낸 후 랜섬웨어 공격을 실시하는 사례가 급증하고 있다. 이는 메이즈(Maze)라는 랜섬웨어가 유행시킨 것으로, 피해자들이 공격자가 요구한 돈을 내지 않을 때 ‘정보를 온 세상에 공개하겠다’는 카드를 하나 더 거머쥐기 위해 취하는 방법이다. 메이즈를 따라 많은 랜섬웨어 운영자들이 이 전략을 구사하는 중이다.

예를 들어 클롭(Clop)이라는 랜섬웨어의 경우, 제약 회사인 엑세큐팜(ExecuPharm)을 공격하며 개인정보와 회사 기밀을 노출하겠다는 협박도 동시에 가했다. 엑세큐팜 직원 중 일부가 피싱 이메일을 잘못 열면서 공격이 시작된 것으로 알려져 있다.

한편 팬데믹 사태가 지속되는 가운데 마젤란 헬스가 랜섬웨어 공격에 당했다는 건 사이버 공격의 또 다른 이면을 보여준다. 왜냐하면 코로나가 유행하기 시작하면서 랜섬웨어 공격자들이 의료 기관에는 공격을 가하지 않겠다고 발표했기 때문이다. 이 때문에 일각에서는 ‘사이버 범죄자라고 하지만 그래도 최소한의 양심은 있는 자들’이라는 평가가 나오기도 했었다.

그러나 그런 선언이 있은 뒤에 랜섬웨어 공격은 전체적으로 급증했다. 조심하는 기색을 전혀 볼 수 없었다. 이 때문에 보안 전문가들은 ‘공격하지 않겠다는 발표를 함으로써 경계 태세를 느슨하게 만들고, 그 틈을 이용해 공격 수위를 높이려는 것 아니냐’는 의혹들이 불거지기 시작했다. 그런 와중에 이번 마젤란 사건이 터진 것이다.

당연하게도 현재 해외 보안 커뮤니티 내 여론은 ‘사이버 범죄자들의 약속이나 선언은 절대 믿을 것이 못된다’는 쪽으로 기울어지고 있다. 보안 업체 케르베루스 센티넬(Cerberus Sentinel)의 CEO인 데이비드 제멧은 외신인 스레트포스트와의 인터뷰를 통해 ‘범죄자들이 하는 말을 귀담아 듣는 것 자체가 보안 구멍이자 리스크’라고까지 표현했다.

3줄 요약
1. 대형 보험 회사인 마젤란 헬스, 랜섬웨어 공격에 당하고 데이터도 도난당함.
2. 최근 랜섬웨어 공격자들, 피해자에게 확실히 돈을 뜯어내기 위해 데이터를 빼돌리기까지 함.
3. 코로나 때문에 병원 공격 안 하겠다던 사이버 범죄자들, 역시나 퍽이나.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)