POS 해킹을 통해 금융정보와 의료정보가 한꺼번에 유출됐으며, 여기에는 지난해 유행한 공격기법과 유사한 공격이 사용된 것으로 드러났다.
트렌드마이크로에 따르면 미국의 의료기관 배너헬스(Banner Health) 음식료품 매점의 PoS가 지난 7월 해킹을 당해 370만명의 개인정보와 재무데이터가 유출됐으며, 이름, 신용카드 번호, 인증코드 등 신용카드 정보 뿐 아니라 환자와 의료진의 이름, 주소, 의료보험 정보, 진료기록, 주민등록번호 등도 탈취당했다. 이 사고는 신용카드 정보와 개인 정보가 각각 별도의 시스템에서 관리되고 있음에도 불구하고 한 번에 유출됐다는 점에서 업계의 우려가 높아지고 있다.
트렌드마이크로는 이 사고가 지난해 유행한 ‘블랙 아틀라스(Black Atlas)’에 POS 정보 수집·탈취 기능을 가진 Gorynych, Diamond Fox 봇넷이 추가된 것이라고 분석했다. 이 봇넷은 사이버 범죄자들이 사용할 수 있는 옵션 모듈이며, 키로거와 같은 모듈 또한 옵션으로 활용할 수 있다.
블랙 아틀라스는 여러 업종의 중소기업을 표적으로 공격했으며, 그 중에서는 의료기관도 포함돼 있다. 사이버 범죄자들은 마치 맥가이버 칼처럼, 각 용도와 기능을 가진 여러 멀웨어 세트로 이루어진 악성 프로그램으로 공격을 진행했다.
공격은 여러 단계로 나뉘어 하나의 특정 멀웨어를 이용해 정보를 수집한 후, 다른 멀웨어를 이용하여 기업 시스템에 더 깊이 침투한다. 시스템 침투에 성공하면, PoS 멀웨어를 설치하고 금융 데이터 등의 중요한 정보를 수집한다. PoS에서 네트워크 상의 다른 시스템까지 감염되는 이러한 감염 체인은 이번 배너 헬스의 공격 사례에서 확인할 수 있다.
이렇게 여러 네트워크가 침해를 당한 또 다른 원인으로 잘못된 네트워크 구성을 의심할 수 있다. POS 데이터와 의료진 및 환자의 개인 데이터가 저장된 시스템이 동일한 네트워크 또는 플랫 네트워크(flat network)일 경우, 관리 및 유지가 용이한 반면 보안적인 측면에서는 효과적이지 않다. 이러한 플랫 네트워크의 시스템 중 하나에 접근하게 될 경우, 나머지 시스템에 쉽게 접근할 수 있다.
기업은 이같은 공격을 피하기 위해 원격 접근 서비스를 위해 방화벽 또는 액세스 제어 목록(ACL)을 도입해야 하며, POS 및 기타 인터넷 접속 기기의 인증 정보의 디폴트 설정을 변경 또는 제3자에 의해 변경됐는지 확인해야 한다.
측면 공격을 방지하기 위해 네트워크를 분리하고, 대규모 조직의 경우 불필요한 정보를 삭제하고 보관되어 있는 정보를 파악하며, 필수 관리가 지속적으로 실시되고 있는지 모니터링해야 한다.
더불어 조직에서 사용하는 서버와 네트워크, 그리고 다양한 사용자 기기를 모니터링 및 감시할 수 있는 다층적인 보안 조치가 필요하다.
