의료 정보가 해커들에게 선호 받는 이유 7가지

\r\n

의료계 해킹, 첨단 기술까지 동원하지는 않으나 매우 조심스러워

\r\n

문제는 업계의 인식 : 교육계도 상황은 비슷해

\r\n

\r\n

[시큐리티월드 문가용] 의료 산업이 사이버 공격의 희생양이 되고 있다. 처음에는 여기저기서 개별적으로 터지는 경고음 같은 사건들이 질서 없이 이어졌다면 좀 더 면밀한 조사가 이루어진 지금은 ‘패턴’이 드러나고 있다. 물론 모든 개별 사건이 서로 연관성을 가지고 있지는 않다. 하지만 적어도 모든 사건에는 의미가 있으며, 배후 세력의 꼼꼼한 계획과 준비, 이유가 있다는 게 보이기 시작했다.

\r\n

\r\n

\r\n

\r\n\r\n\r\n

\r\n

\r\n

마치 사담 후세인과 싸웠던 이라크전 당시와 같은 분위기다. 데저트 스톰 작전(Operation Desert Storm)을 감행하기에 앞서 미국은 이라크군의 방어라인을 먼저 무력화시켜야 했는데, 지금 의료 산업에 일어나고 있는 자잘한 사건들이 바로 이런 역할을 하고 있는 것이다. 그나마 이라크는 자신들이 당하고 있다는 걸 알기라도 했지, 의료 업계는 아직도 현실파악이 안 되고 있어서 더 문제다.

\r\n

\r\n

지금 의료계에서는

\r\n

우리 팀은 매일 일어나는 일들을 관찰하고 있다. 그러자니 실제 우리가 언론을 통해 접하는 것보다 훨씬 많은 일들이 의료 업계에서 일어나고 있다는 걸 실감할 수 있다. 정말 글자 그대로 매일 해킹 사건이 발생한다. 하지만 동네 치과라던가 의료보험 상담소, 작은 성형외과, 개인종합병원 같은 곳이 대부분 타깃이라서 큰 사건으로 발전하는 경우는 거의 없다.

\r\n

\r\n

한 가지 패턴이 있다면, 원시적인 브루트 포스 공격의 흔적은 나타나지 않는다는 것. 그렇다고 의료계에 어울리는 고급 해킹 기술이 동원되느냐 하면, 그런 것도 아니다. 의료 정보를 노리는 해킹은 그다지 고급스럽지는 않지만 굉장히 조심스럽다는 공통점이 있다. 의료 장비나 물품을 관리하는 루트가 해킹 당하고, 외주 소프트웨어 관리 업체가 해킹 당하고, 병원 네트워크에 접근 권한을 가진 직원이 피싱을 당하고, 디폴트 패스워드를 가진 웹 애플리케이션이 해커의 손에 넘어간다. 다 아는 수법이고 경로인데, 해커들은 조심스럽게 접근해서 성공률을 높이고 있다.

\r\n

\r\n

그렇다고 어중이떠중이 해커들이 그저 조심만 한다고 해서 해킹이 자유자재로 되는 건 아니다. 분명히 여기에는 일정 수준 이상의 해킹실력이 필요하다. 그렇다면 실력자들이, 그리고 일부 섞여든 어중이떠중이까지, 의료 정보를 캐내기 위해 애쓰는 이유가 분명히 있을 것이다. 그건 무엇일까?

\r\n

\r\n

1. 의료 정보는 가치가 높은 개인 정보로 이루어져 있다. 이 정보들은 ID 도난, 신용 사기, 불법 마약 밀매, 지적재산 탈취에 유용하게 활용될 수 있다.

\r\n

\r\n

2. 정보보호에 소홀하거나 허술한 작은 조직들이 이런 고급 정보들을 관리하고 있는 경우가 많다.

\r\n

\r\n

3. 보통 병원이나 의료기관에는 직원들이 많다. 외주업체도 의외로 많이 엮여있다. 공격루트가 다양하다는 뜻이다.

\r\n

\r\n

4. 직원과 환자 모두 사용하는 첨단 기기나 솔루션의 수가 늘어나고 있다.

\r\n

\r\n

5. 의료 기기를 다루는 업체가 굉장히 흔한 게 아니다. 즉, 한 장비 업체와 사업을 같이 하는 병원 혹은 의료 기관의 수가 많은 것이 정상이다.

\r\n

\r\n

6. 의료 업계가 전반적으로 굉장히 딱딱하고 보수적이며 규칙과 제약 사항이 많다. 그래서 상대적으로 방어에 신경 쓸 여력이 적은 편이다.

\r\n

\r\n

7. 사이버 공간, 네트워크, 시스템 내부 등은 업계 종사자들에게 있어 중요도가 한참 후순위로 밀려난다. 의료 연구 및 환자 조치 외에 있는 사이버 공격 및 해킹은 관심 밖의 영역이라는 것이다.

\r\n

\r\n

잘못 알아듣거나, 일부러 안 듣거나

\r\n

하는 일이 그렇다보니 나는 매일처럼 업체들을 만나 사이버 보안에 대한 상담을 한다. 어떻게 해야 회사의 기능성은 보존하고 보안성은 높일 수 있을지 연구하고 알려주는 게 내 직업이다. 그리고 나에게 이런 조언을 듣는 고객들은 정보보안을 잘 모르기 때문에 나 같은 사람을 찾는 사람들이다.

\r\n

\r\n

그런데 의료 업계나 다른 산업이나 할 것 없이 보이는 공통점이 있는데, 정보보안의 정말 중요한 일인 정보 수집과 분석 과정을 철저하게 무시한다는 것이다. 그냥 하질 않는다. 정보와 첩보를 모으고 분석해야 그에 맞는 가장 효율적인 보안 전략을 수립할 수 있는데 이 첫 단추부터 끼지 않는 것이다.

\r\n

\r\n

그리고 더 답답한 건 마치 샴푸 성능이야 어쨌든 거품만 많이 나면 좋은 것으로 여기는 사용자들의 오해가 ‘정보 수집’을 하는 과정 중에도 발생한다는 것이다. 비싼 툴, 전문화된 툴은 무조건 좋다고 여기고, 정보의 질이야 어쨌든 그 툴을 써서 로그가 꽉꽉 채워지기만 하면 돈 잘 썼다고 생각하는 사람들이 거의 전부다. 자기 조직이 하는 일이 무엇인지, 자기가 속한 산업이 무엇인지, 어떤 직무에 대한 어떤 방어가 이루어져야 하는지, 전체 맥락 속에서 정보를 모으고 읽어내야 하는데 그런 건 하나도 없고 오직 눈에 나타나는 것에만 현혹되는 경우가 많아도 너무 많다.

\r\n

\r\n

그렇기 때문에 이들이 우리 같은 업계에 요구하는 범위가 너무 넓다는 것도 문제다. 해당 업체와는 전혀 상관없는 종류의 공격 형태까지 방어해달라고 하고, 우리는 고객의 요구를 무시할 수 없기 때문에 한정된 자원이 엉뚱한 곳에 소요된다.

\r\n

\r\n

계속해서 발생하는 의료 업계 사고에도 불구하고 이런 인식이 바뀌지 않은 채 머무르고 있으면 앞으로도 당분간 의료 업계는 계속해서 전쟁터로 남아있을 것이다. 그리고 앞에 말했다시피 이게 비단 의료 업계만의 문제가 아니라는 것이 영 찜찜하다. 아니, 이미 의료계의 문제는 교육계로 번져가고 있다.

\r\n

\r\n

지금 사이버 위협이라는 주제로 교육계를 바라보면 의료계에서 사고가 뻥뻥 터지기 직전의 모습과 굉장히 흡사하다. 교육계 역시 많은 직원들 및 종사자가 있으며 외주 업체도 많이 엮여 있다. 교육기관은 학생에 대한 민감한 정보를 저장하고 있으며, 이들 역시 교육이 먼저지 사이버보안이 우선적인 가치를 갖지 않는다. 모든 면에서 의료계가 각광받는 이유를 고스란히 가지고 있는 분야가 바로 교육산업이다. 여기를 지켜볼 필요가 있다.

\r\n

\r\n

글 : 제이슨 폴란키치(Jason Polancich)

\r\n

@DARKReading

\r\n

\r\n

[국제부 문가용 기자(globoan@boannews.com)]

\r\n

\r\n

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>