2020-05-29 15:00 (금)
PoS 멀웨어에 의한 정보유출 사례로 살펴보는 데이터 보호 대책
상태바
PoS 멀웨어에 의한 정보유출 사례로 살펴보는 데이터 보호 대책
  • 길민권 기자
  • 승인 2016.10.03 18:15
이 기사를 공유합니다

조직에서 사용하는 서버와 네트워크, 다양한 사용자 기기 모니터링 및 감시하는 다층적 보안 조치 필요해

방대한 양의 개인정보를 보유하고 있는 의료기관은 사이버범죄자들에게 매력적인 공격 표적이 된다. 대부분의 의료기관은 신용카드 정보, 진료 기록, 건강보험, 주민등록번호 등의 중요한 정보를 저장하고 있다. 지난 8월, 미국 최대 규모의 비영리 의료기관 ‘Banner Health’를 상대로 정교한 사이버 공격이 행해졌다. 이 공격으로 약 370만명의 개인정보 및 재무 데이터가 유출된 것으로 파악되었다.

2016년 7월 7일, Banner Health 음식료품 매점의 PoS(Point-of-Sale) 시스템 네트워크에 침입이 발생하였다는 것이 여러 매체를 통해 보도되었다. 이 공격을 통해 사이버 범죄자들은 이름, 신용카드 번호, 인증코드 등을 포함한 고객의 신용카드 정보를 탈취했다. 추가 조사결과, 환자와 의료진 정보의 개인정보 데이터 또한 유출되었다는 것을 확인했다. 이는 환자와 의료진의 이름, 주소, 의료보험 정보, 진료기록, 주민등록번호 등을 포함하는 데이터다.

신용카드 정보와 개인 정보는 각각 별도의 시스템에서 관리되고 있음에도 불구하고, 두 정보가 모두 유출되었다는 점에서 의료 업계의 우려가 고조되는 상황이다.

위와 같은 정보유출 사례는 하나의 멀웨어가 아닌 여러 악성 프로그램에 의해 발생될 수 있다. 트렌드마이크로는 2015년 광범위하게 가해진 ‘Black Atlas 작전’을 일정 기간 추적해 왔으며, 이번 공격과 유사점을 발견했다.

트렌드마이크로에서 확인한 바 ‘Black Atlas 작전’의 PoS 악성코드는 정보 수집 및 탈취 기능을 제공하는 Gorynych나 Diamond Fox라는 봇넷이 추가된 것에 불과하다. 이러한 봇넷 기능은 사이버 범죄자들이 사용할 수 있는 옵션 모듈이다. 이 외에 키로거와 같은 모듈 또한 옵션으로 활용할 수 있다.

‘Black Atlas 작전’은 여러 업종의 중소기업을 표적으로 공격했으며, 그 중에서는 의료기관도 포함되어 있다. 사이버 범죄자들은 마치 맥가이버 칼처럼, 각 용도와 기능을 가진 여러 멀웨어 세트로 이루어진 악성 프로그램으로 공격을 가했다.

공격은 여러 단계로 나누어져 하나의 특정 멀웨어를 이용해 정보를 수집한 후, 다른 멀웨어를 이용하여 기업 시스템에 더 깊이 침투한다. 시스템 침투에 성고하면, PoS 멀웨어를 설치하고 금융 데이터 등의 중요한 정보를 수집한다. PoS에서 네트워크 상의 다른 시스템까지 감염되는 이러한 감염 체인은 이번 Banner Health 공격 사례에서 확인할 수 있다.

또 다른 원인은 네트워크 구성에 있다. PoS 데이터와 의료진 및 환자의 개인 데이터가 저장된 시스템이 동일한 네트워크 또는 플랫 네트워크(flat network)일 경우, 관리 및 유지가 용이한 반면 보안적인 측면에서는 효과적이지 않는다. 이러한 플랫 네트워크의 시스템 중 하나에 접근하게 될 경우, 나머지 시스템에 쉽게 접근할 수 있다.

트렌드마이크로는 이번 정보유출 사례로 기업에서 정보유출을 방지를 위해 요구되는 효과적인 보안 대책을 구성할 것을 권고하고 있다.

-원격 접근 서비스를 위해 방화벽 또는 액세스 제어 목록(Access Control List, ACL)을 도입

-PoS 시스템 및 기타 인터넷 접속 기기의 인증 정보의 디폴트 설정을 변경 또는 제3자에 의해 변경되었는지 확인

-측면 공격을 방지하기 위해 네트워크 분리

-대규모 조직의 경우 불필요한 정보를 삭제하고 보관되어 있는 정보를 파악

-필수 관리가 잘 실시되고 있는지, 지속적으로 이루어지는지 확인

-이벤트 로그 모니터링 및 저장

-위협 상황을 파악하고 대응 전략의 우선순위를 설정

사이버 범죄자들이 공격 방식을 지속적으로 발전시켜 나간다 해도, 의료기관에서는 항상 한 발 앞선 대책을 강구하고 있어야 한다. 조직에서 사용하는 서버와 네트워크, 그리고 다양한 사용자 기기를 모니터링 및 감시할 수 있는 다층적인 보안 조치가 필요하다.

★정보보안 & IT 대표 미디어 데일리시큐!★