다른 병원으로 후송 중 여성 환자 사망...문제의 랜섬웨어는 도플페이머
도플페이머는 러시아 이블 코프의 비트페이머 변종...병원은 곧 응급실 열어

[보안뉴스 문가용 기자] 얼마 전 발생한 ‘랜섬웨어 사망 사건’에 러시아 갱단이 연루된 것으로 나타났다. 랜섬웨어 사망 사건이란, 독일의 뒤셀도르프대학에서 운영하는 병원이 랜섬웨어에 걸려 마비되었고 이 때문에 위중한 환자를 받지 못하고 다른 병원으로 후송하는 과정에서 환자를 사망케 한 사건을 말한다.


공격이 발생한 것은 9월 10일 목요일 밤이었다. 공격자들은 병원에서 사용하고 있던 시트릭스(Citrix) 소프트웨어의 취약점을 익스플로잇 해서 침투한 것으로 밝혀졌다. 공격자들이 중요 파일들을 암호화 하자 병원의 IT 시스템은 작동을 멈췄고 응급환자를 받거나 수술을 진행하는 게 사실상 불가능하게 되었다.

독일의 연방 사이버 범죄 수사 기관의 대변인은 공격자에 대한 수사와 체포 작전이 이뤄지고 있다고 발표했다. 그리고 오늘 독일의 일간지들은 “당시 병원을 공격했던 랜섬웨어는 도플페이머(DoppelPaymer)”라고 일제히 보도했다.

도플페이머는 2019년 4월 처음 발견된 랜섬웨어로, 러시아의 해커들이 먼저 개발한 것으로 알려져 있다. 비트페이머(BitPaymer)라는 랜섬웨어의 변종인데, 이 비트페이머는 이블 코프(Evil Corp)라는 공격 단체가 만든 것으로 알려져 있다. 이블 코프는 러시아 정부와 연관이 깊은 그룹이다. 도플페이머와 이블 코프의 직접적 연관성은 아직까지 뚜렷하게 드러나지 않았다. 다만 여러 가지 정황상 둘의 관계가 유력하게 예상될 뿐이다.

도플페이머는 바이러스와 관련된 내용의 피싱 이메일을 통해 퍼진다. 피해자가 피싱에 속아 이메일을 열고 도플페이머가 시스템에 설치되면 파일이 전부 암호화 되고 피해자에게 협박 메시지가 나타난다. 또한 최근 랜섬웨어 공격자들 사이에서 유행인 것처럼 돈을 내지 않을 경우 정보를 유출시키거나 따로 거래하기도 한다.

이번 사건에서 독일 당국은 공격자들이 랜섬웨어의 로더를 병원 서버에 수개월 전부터 설치한 것을 발견해냈다. 이 역시 최근 랜섬웨어 공격자들 사이에서 자주 나타나는 패턴이다. 랜섬웨어 페이로드를 마구 살포하는 게 아니라, 돈을 정말로 낼만한 곳을 골라서 노리는 표적형 공격을 주로 하기 때문이다.

현재까지 밝혀진 바 도플페이머에 당해 마비된 병원 서버는 30개라고 한다. 9월 10일, 다운로드가 이뤄지자마자 발생한 일이다. 이 서버들은 아직도 마비된 상태이며, 따라서 병원의 환자들은 아직도 잠재적 위험에 처한 상황이다. 다만 응급실은 이번 주 안에 다시 열릴 수 있다고 한다.

3줄 요약
1. 응급실이 랜섬웨어로 마비돼 치료받지 못한 환자, 결국 사망한 사건.
2. 수사 결과 문제의 랜섬웨어는 러시아의 도플페이머.
3. 병원은 아직도 복구 중. 다만 응급실은 이번 주 내 다시 운영 시작.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>