낮은 운영체제만 노려서 공격 감행
탐지 시스템 우회 기능까지 탑재

[보안뉴스 홍나경 기자] X레이, MRI 스캐너 등 의료 기기를 통해 네트워크에 침투하는 공격인 메드잭(MEDJACK)이 메드잭3(MEDJACK3)로 진화되어 새롭게 돌아왔다.


메드잭 공격은 2015년 병원 3곳이 의료 기기의 취약점으로 인해 사이버 공격을 당하면서 처음 등장했다. 당시 미국의 보안 업체 트랩엑스(TrapX)는 감염된 기기의 백도어를 통해 해커들이 내부 네트워크로 침입할 수 있다는 사실을 발표했고 이로 인해 많은 환자기록이 위험하다는 주장도 덧붙였다.

메드잭2는 메드잭이 처음 나타난 다음 해인 2016년에 나타났다. 메드잭2는 해커들이 백도어뿐만 아니라 봇넷을 사용하여 기기들을 악용하고 네트워크에 들어갈 수 있는 방식으로 이전보다 더 진화되어 나타났다.

그리고 가장 최신의 메드잭 버전인 메드잭3는 트랩X의 최고 마케팅 관리자인 안토니 제임스(Anthony James)가 얼마 전 폐막한 사이버 보안 콘퍼런스&전시회인 RSA에서 소개했다. 트랩X는 메드잭2에 이어 해커들이 더 진화된 방법으로 의료 기기의 취약점을 노리고 몰래 잠입한다는 메드잭3의 출현 소식을 들었을 때 메드잭3에 대해 연구하기 위해 영국의 10개의 병원의 인프라를 조사했다고 밝혔다.

제임스는 병원 내부에 가짜로 MRI, CT 스캐너 의료 기기들을 설치하고 허구 네트워크 시스템(Phony Network)을 구축하여 여기에 가해지는 해커들을 공격 조사를 통해 현존하는 의료 기기가 얼마나 약한지를 파악할 수 있었다고 말했다. 그는 공격을 당한 의료 기기들은 이전 컴퓨터 운영시스템인 Windows XP, Windows 2008, Windows 2012 등에 연결되어 있었다고 말했다. 또한, 메드잭3의 가장 흥미로운 점은 이렇게 주로 낮은 사양의 운영체제에서 작동되는 기기들만을 노리는 것이라고 설명했다.

그는 패치되지 않은 운영체제는 계속해서 취약한 상태로 남아 있어 해커들에게 있어서는 매우 유용한 도구로 사용되고 있지만 반면 새로운 운영체제는 이러한 공격을 무시하도록 설계되어 있다고 했다. 또한, 제임스는 이뿐만이 아니라 메드잭3같은 경우 심지어 샌드박싱(sandboxing: 위협 요인 격리조치) 또는 이보다 더 성능이 뛰어난 멀웨어 탐지 시스템을 우회할 수 있는 기능까지 갖추고 있다고 덧붙였다. 위와 같은 방어 도구들이 있어도 무용지물이라는 얘기다.

이렇게 구식 운영체제에 강하고 탐지 시스템까지 우회할 수 있는 매드잭3은 매우 위험하다는 주장이다. 그리고 가장 큰 문제는 의료 산업에서 쓰이는 의료 기기 대부분이 이전 운영체제에 연결되어 있다는 것이다. 그렇기 때문에 상당수의 의료 기관들의 인프라가 이미 메드잭에 공격을 당했다는 주장이며 보통은 메드잭 공격을 당하고도 모르는 경우가 많다고 한다. 또한, 제임스는 의료 기기를 업그레이드 하는 데에는 상당한 시간이 소요될 것으로 보인다고 설명했다.

의료 시스템은 중요 환자 기록을 갖고 있음에도 침입이 쉬워 해커들에게는 효자 종목 같은 존재로 자리 잡았다. 트랩X의 보고서에 따르면 의료 산업을 겨냥한 사이버 공격은 지난 3년 동안 300%나 증가했다. 또한, 작년에 발생했던 사이버 공격 전체 중 31%에 해당하는 사건들이 건강정보에 관련됐다.

의료 산업이 취할 수 있는 최선책으로 제임스는 간호사실 외에도 여러 곳에 연결되어 있는 의료 기기들을 분리하여 정말 필요한 곳에만 연결하는 식으로 공격의 확산을 막는 방법 또는 주기적으로 기기를 새로운 소프트웨어로 업데이트를 하고 패치를 하는 것이라고 말했다.
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>