중국 정부가 개입했는지는 아직 정확히 파악되지 않아

의료계에 보안조치가 여러모로 어렵다는 게 드러나는 사건

[보안뉴스 문가용] 4백 5십만 건의 개인정보가 유출된 사고가 터졌다. 포춘지가 선정한 500대 기업 중 하나이며 미국 29개 주에서 206개의 병원을 운영하고 있는 커뮤니티 헬스 시스템(Community Health Systems, 이하 CHS)가 뚫린 것이다. 유출된 정보에는 사회보장 번호, 이름, 생년월일, 주소, 연락처 등이 포함된 것으로 밝혀졌다. 하지만 신용카드 정보나 의료 기록은 아직 무사하다.

그밖에 지적재산권에 해당하는 ‘값비싼’ 정보의 도난 흔적은 발견되지 않고 있어 고개를 갸웃거리게 한다. 포렌식을 진행한 CHS는 “중국의 APT 단체의 소행인 것으로 보인다”라고 결과를 발표했으며 고급 기술과 정교한 방법이 동원됐다고 했다. 아직 단체의 이름까지는 발표되지 않았으며 수사가 종결되지 않았기 때문에 당분간은 계속해서 비밀에 부쳐질 것으로 보인다.

중국의 정부가 개입했느냐에 대해서는 많은 전문가들이 회의적인 반응을 보이고 있다. “중국 정부에서 개인의 식별 정보를 가져갈 이유가 없습니다. 금전적이거나 정치적인 가치가 미비하기 때문입니다. 게다가 중국 정부는 여태껏 이보다 더한 정보들을 빼내왔습니다. 저는 중국 정부의 개입을 의심하고 있습니다.” 레드웨어(Radware)의 보안솔루션 전문가인 데이비드 홉스(David Hobbs) 씨의 의견이다.

“간과하지 말아야 할 것은 중국이 세계에서 경제 규모가 두 번째로 큰 나라이며 인터넷 사용자 인구만 6억 명이 넘는다는 겁니다. 미국 전체 인구수보다 많은 숫자죠. 그러니 이런 류의 공격을 시도할 사람도 당연히 많을 겁니다. 무조건 중국 정부를 의심부터 하고 보는 건 이성적이지 못한 행위 같습니다.” 블랙 로터스(Black Lotus)의 공동 창립자인 제프리 리온(Jeffrey Lyon) 씨도 비슷한 의견이다.

하지만 이번 공격은 후속타를 위한 준비 작업이라는 의견도 있다. “분명히 의료계에 있어 가장 큰 사고 중 하나지만 그것 자체가 공격자의 원래 목표라는 보장은 없습니다. 중국 정부가 여기에 책임이 있다면 어떤 방법이라도 사용할 수 있다고 보고, 여러 단계에 걸쳐서 목표한 바를 이룰 가능성이 높을 것이라고 봅니다. 중국 해킹 단체의 수법이 얼마나 놀랍게 진화하는지 그동안 여러 차례 목격해오지 않았나요?” 멀웨어바이트 랩스(Malwarebytes Labs)의 연구원인 제롬 세구라(Jerome Segura) 씨의 의견이다.

지난 4월 FBI는 미국 의료계에 한 차례 해킹 공격에 대비하라는 권고 사항을 전달한 바가 있다. 의료계가 해킹이 유달리 취약하다는 지적도 함께였다. 래피드7(Rapid7)의 보안 전략가인 트레이 포드(Trey Ford) 씨 역시 의료계가 유달리 보호하기 힘든 분야라고 말한다.

“일단 의료계는 필연적으로 개인 식별정보를 가지고 있을 수밖에 없습니다. 그리고 이런 정보는 암시장에서 높은 가격으로 팔리죠. 또한 의료계 종사자들은 업무를 하면서 여러 개의 시스템에 접속하는 경우가 많은데 이때 아이디와 암호를 동일하게 설정합니다. 즉 하나의 정보로 더 많은 시스템에 침입하는 게 가능하다는 겁니다.  의료기기는 굉장히 전문적이라 쉽게 패치하는 것도 힘들고요. 여러 모로 다른 계통에서 하던 걸 그대로 적용하는 게 힘듭니다.”

한편 CHS에게 어떤 법적인 압력이 가해질지는 불투명하다. 일단 주식의 가격에는 변동이 없었으므로 금전적인 실제 피해는 크지 않을 것으로 보인다. 게다가 보험에 가입하고 있어 보상도 받을 예정으로 보인다. 그래서 그 어떤 처벌도 없다는 건 미래에 이런 일이 발생할 수 있도록 환경을 조성하는 것이 아니냐는 목소리도 나오고 있다. 그에 따라 정부도 CHS의 책임 여부를 검토 중에 있다. 보안과 의료계가 타의 반 자의 반으로 만남을 서두르고 있다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>