랜섬웨어뉴스

        120년의 역사와 전통을 자랑하던 병원이 문을 닫는다. 랜섬웨어 때문에 촉발된 경영난 때문이다. 랜섬웨어가 병원 문까지 닫게 만든 건 이번이 처음이다.

[보안뉴스 문가용 기자] 미국 일리노이 주의 병원 한 곳이 문을 닫기로 결정했다. 경영난이 그 이유인데, 이 경영난을 가져온 것이 랜섬웨어 공격이어서 업계가 시끌시끌하다. 랜섬웨어 때문에 유명 병원이 폐업을 하게 된 첫 번째 사례로, 랜섬웨어라는 게 실존적 위협이 될 수 있다는 사실이 증명됐다. 큰 병원도 이런데, 소규모 병원들은 대책을 마련하고 있는지 궁금해 하는 사람들도 많아지고 있다.

 

 

이번에 폐업을 결정한 병원은 세인트마가렛헬스(St. Margaret’s Health, SMH)라는 곳이며, 일리노이 주의 스프링밸리(Spring Valley)와 페루(Peru) 시의 시설들 모두 문을 닫을 것이라고 한다. 참고로 SMH는 120년 된 의료 기관으로 일리노이 주의 중요 사회 기반 시설 중 하나다. 역사와 전통을 자랑하는 중견 병원이 문을 닫게 된 건 랜섬웨어, 코로나, 의료 인력 부족이 복합적으로 작용했기 때문이라고 한다.

랜섬웨어 공격이 발생한 건 2021년 2월의 일이었다. SMH 스프링밸리 병원이 공격을 받았는데, 특히 지불 관련 업무를 처리하는 부분이 작동을 멈췄다. 보험 처리는 물론 병원비와 급여 정산 등 돈과 관련된 일을 아무 것도 할 수 없었다. 게다가 IT 시스템과 이메일 인프라, EMR 포털 등도 제대로 작동하지 않았다. SMH의 부회장 린다 버트(Linda Burt)는 “이러한 상태로 4개월이 흘러갔다”고 말한다. 4개월 내내 IT 기능과 이메일, EMR을 전혀 사용할 수 없었다고 한다.

“종이와 펜으로 업무를 봤습니다. 환자의 의료 기록을 전부 말이죠. 어떤 부서에서는 1년이나 이런 식으로 근무를 했습니다. 각종 금전 처리마저 이렇게 해야 했으니 내부적으로 엄청난 혼란이 지속될 수밖에 없었습니다. 보험 처리나 고지서 납부 등 정해진 일자를 엄격하게 지켜야 하는 일들이 늦춰지면 그에 대한 대가가 뒤따랐고, 이는 더 큰 피해 누적으로 이어졌습니다. 정말 바쁘게 움직이는데 상황은 매일 더 안 좋아졌습니다.”

보안 분석가 아드리안 사나브리아(Adrian Sanabria)에 따르면 지난 20년 동안 사이버 공격 때문에 문을 닫은 기업이 여럿인데 SMH가 최신 사례로 등극하게 되었다고 한다. “제가 가지고 있는 자료에 의하면 지난 20년 동안 사이버 공격 때문에 문을 아예 닫은 조직은 총 24개입니다. 대다수가 중소기업이었지요. 24개 기업 중 10개 기업은 랜섬웨어 공격을 받은 것으로 나타났습니다. 그리고 이 10개 기업 모두 2014년 이후에 당했어요.”

[앞으로 더 많은 병원이 비슷한 일 겪을 것]
CISA의 전 전략가이자 보안 업체 클래로티(Claroty)의 부회장인 조슈아 코먼(Joshua Corman)은 “SMH는 첫 사례이지 마지막 사례가 아니”라고 강조한다. 거의 모든 병원들의 사이버 보안 상태가 엉망이라 공격자들로서는 이미 열려 있는 문을 통해 걸어들어가는 것처럼 자연스럽게 침투할 수 있다는 게 그의 설명이다. “그렇기 때문에 병원은 늘상 사이버 공격에 당할 수밖에 없는 위치에 있습니다. 병원에서 다루는 정보의 가치 역시 엄청나게 높다는 걸 생각하면 공격자 입장에서 이보다 좋은 표적이 있을 수 없을 정도입니다.”

아무리 병원의 정보 보안 상태가 엉망이라고 해도 대형 병원은 그래도 조금은 나은 편이다. 문제는 농촌이나 어촌과 같은 지역에 있는 소규모 병원이다. 이런 곳에서도 개인의 의료 정보를 다루기 때문에 고가치 정보가 저장되어 있다는 사실 자체에는 변함이 없다. 하지만 예산이나 인력이 턱없이 부족해 보안 장치는 사실상 전무하다고 봐도 무방하다. 사이버 보험은 아예 생각도 하지 못한다.

코먼은 “자본의 논리만으로는 이런 상황을 해결하지 못한다”며 “방치할 경우 수많은 병원들이 문을 닫게 되고 지역 사회는 의료 시설 없이 살아가야 하는 말도 안 되는 상황에 처하게 될 것”이라고 강조한다. “이건 정부가 나서서 해결해야 하는 문제입니다. 실질적으로 보안을 강화할 수 있는 방법이나 정책을 고안해야 합니다. 개입하지 않는다면 시골의 지역 사회가 서서히 붕괴되는 걸 막기 힘들 겁니다.”

왜 노렸나
시애틀 시청 소속 CISO였던 마이크 해밀턴(Mike Hamilton)의 경우 “SMH에서 벌어진 일이 표적형 공격이었는지 아니면 공격자들의 운이 좋았던 것인지 아직 확실하지 않다”며 “어떤 결론이 나느냐에 따라 향후 대책이 달라질 수 있다”고 말한다.

“만약 공격자들이 표적형 공격을 한 거라면 양상이 꽤 흥미로워집니다. 왜냐하면 SMH가 완전히 거대한 규모의 사업체는 아니거든요. 랜섬웨어 공격자들이 요구하는 돈을 내지 못할 가능성이 훨씬 높은 곳입니다. 그런데도 이런 곳을 노렸다? 그렇다면 공격자들이 병원 금고가 아니라 보험금을 노렸다고도 볼 수 있습니다. 무서운 이야기죠. ‘우리한테서 훔쳐갈 게 없어’라는 논리가 전혀 통하지 않는다는 뜻이니까요.”

그러면서 해밀턴은 “의료 시설의 IT 관리자들이라면 가장 먼저 의료 업무를 처리하는 시스템과 네트워크로부터 공공 인터넷을 직접 접속하지 못하도록 하는 방안을 먼저 마련하는 게 좋다”고 권장한다. “기술적으로 구현하기도 해야 하겠지만 정책과 교육을 통해서 병원 직원과 의료진들이 인터넷에 계속 접속하지 못하도록 하는 것도 중요합니다.”

3줄 요약
1. 랜섬웨어 때문에 망한 병원이 최초로 생김.
2. 랜섬웨어가 지불 시스템을 망가트리는 바람에 운영난이 가속화 됨.
3. 소규모 병원들에도 위기 찾아올 테니 정부가 나서야 함.

[ 보안뉴스 ] 문가용 기자원문보기