노퍽 앤 노리치 대학 병원을 포함한 여러 병원이 랜섬웨어 공격의 피해를 입었다.
WanaCrypt0r라는 이름의 대규모 랜섬웨어 공격이 74개국의 다양한 개인과 기업에 피해를 입히고 있다. 가장 먼저 피해를 본 곳 중에는 영국의 NHS(국민건강서비스) 병원들도 있다. 이 병원들의 환자 정보가 인질이 된 것이다. 용의자는 몸값으로 비교적 적은 돈인 300달러를 비트코인으로 낼 것을 요구했다. 비트코인은 이런 비도덕적인 행위에 자주 등장하는 암호화된 화폐다. 이에 피해 병원들은 국민건강서비스와 함께, 모든 진료 예약을 취소하고 긴급한 일이 없는 모든 사람들에게 상황이 해결될 때까지 대기할 것을 촉구하는 방식으로 대응했다. 절취한 건강 정보를 가지고 인질극을 벌인 범인들은 현대 인터넷의 중요한 진실을 잘 알고 있었다. 모든 데이터 보유에는 잠재적인 책임이 따르며, 민감 데이터 보호를 미루어서는 안 된다는 것이다.
병원에서는 진찰 결과를 데이터로 저장한다. 이 데이터 중에는 매우 민감한 내용도 많으며, 그것도 무려 수천 명의 환자들의 것이다. 이만한 데이터라면 랜섬웨어 공격을 벌일 가치가 있다. 가정용 컴퓨터에 랜섬웨어 공격을 할 때는 개인에게서만 몸값을 뜯어낼 수 있다. 그리고 개인들은 보안 서비스 및 도구를 사용해 후속 공격을 방어할 수 있다. 하지만 병원 컴퓨터에 저장된 개인의 데이터라면, 그 데이터의 주인이 데이터를 방어하기 위해 할 수 있는 일이 별로 없다. 때문에 이런 데이터를 방어하는 것은 철저히 병원의 몫이다. 병원이 제대로 방어하지 못할 경우 랜섬웨어 공격으로 몸값을 지불하던지 데이터를 영구 손실하던가 하는 피해를 입게 될 것이다.
보안 연구가들은 특정 보건용 장비가 보안 허점으로 악용될 수 있다고 지적한다. 약물 주입기나 페이스 메이커 등의 장비는 펌웨어 업데이트 내용을 인증하지 않고 채택한다는 것이다. 이러한 약점 때문에 미국 식품의약청(FDA)은 병원들에 보안이 취약한 장비 사용을 중단할 것을 요청했다. 그러나 데이터 접속이야말로 병원의 취약한 사이버 보안 중에서도 가장 큰 약점일 수도 있다.
보험사에서 탈취당한 개인 정보는 암시장에서 신용 카드정보보다 20배나 더 비싼 가격으로 거래된다. 사람들은 이렇게 암거래한 의료 정보를 가지고 암시장 재판매가로 의약품을 부정 구입하기도 하고, 심지어는 남의 의료 신분을 훔치기도 한다. 인슐린 펌프나 페이스메이커 등의 특정 의료 기기에 몸 값을 걸 경우 범죄자들은 이들 기기가 없을 경우 고통을 당하는 사람들로부터 돈을 갈취할 수도 있다.
그리고 이들 데이터에 기반해 움직이는 병원에서 데이터를 접속할 수 없을 경우 환자가 먹어야 하는 음식 같은 사소한 것까지도 지장이 갈 수 있다.
병원 컴퓨터가 낡고 취약한 운영체제를 사용한다는 것도 문제의 일부다. 이러한 문제는 장래 더욱 강력한 보안조치를 의무화하는 규제를 도입하면 해결될 수도 있을 것이다. 그러나 현재로서는 해결 방법이 없다. 일부 병원에서는 300달러의 비트코인을 몸값으로 지불한 것이 확실하다. 그리고 상황이 종료되기 전에 더 많은 몸값이 지불될 것이다.
이번 랜섬웨어 공격은 병원에 가장 큰 타격을 입혔지만, 그 외에 다른 곳에도 가해졌다. 스페인의 여러 회사에도 동일한 유형의 랜섬웨어 공격이 가해진 것으로 보인다. 5월 13일 현재 74개국이 이번 랜섬웨어 공격을 당했다. 미국 NSA(국가안보국)은 윈도우즈의 보안 허점을 발견했으나 이 내용을 담은 관련 문서가 외부에 유출되었고 이번 공격의 빌미를 제공한 것으로 보인다. 마이크로소프트는 지난 3월부터 이러한 허점을 메우는 방법을 공개했으나, 사이버 보안의 빈틈은 심지어 패치가 최종 사용자들에게 지급될 때에조차도 언제나 높은 우선 순위를 차지하지 못했다.
부실한 사이버보안 처리 관행과 패치 작업으로 인해 이번 랜섬웨어 공격 같은 일이 벌어졌다. 그리고 NHS는 이런 공격을 막기에 그리 좋은 위치가 아니라는 것이 드러났다. 2016년 11월, <스카이 뉴스>와 사이버 보안 전문가 모임인 <해커 하우스>의 보안 조사 결과 NHS의 NHS 신탁 이메일과 암호의 경우 잘못 설정된 이메일 서버, 너무 오래된 소프트웨어와 보안 인증을 갖추고 있는 것이 일반 검색을 통해서도 드러났다.
서울경제 파퓰러사이언스 편집부 / by Kelsey D. Atherton
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
