[데이터넷] 랜섬웨어 공격자들이 의료기관과 학교를 대상으로 집중 공격을 이어가고 있다. 랜섬웨어 공격자들은 ‘도덕적’ 이유로 사람의 생명에 위협을 가하거나 학생들을 위협할 수 있는 의료기관과 교육기관은 공격하지 않는다고 밝혀왔지만, 코로나19 이후 이러한 원칙이 무너졌다.

특히 올해 무브잇 취약점을 악용하는 클롭 랜섬웨어가 의료·교육기관을 대상으로 연이어 랜섬웨어 공격을 벌이자 다른 공격그룹들도 잇달아 공격하고 있다. 의료·교육기관은 공격자가 좋아하는 민감 데이터를 대규모 보유하고 있으며, 보안 수준이 낮아 공격이 쉽다. 이 기관도 클라우드·IoT를 도입하면서 외부 공격표면이 늘어나 공격자의 접근이 점점 더 쉬워지고 있다.

레코디드퓨처가 매달 조사해 공개하는 랜섬웨어 동향 보고서에 따르면 8월 한달간 미국에서 27개의 교육기관이 공격을 당했으며, 7월에는 19개 교육기관이 공격을 당했다. 메릴랜드 프린스 조지 카운티 공립학교와 워싱턴의 에드먼즈 교육청의 경우, 수만 명의 학생이 등록한 수십 개의 학교가 관련되었기 때문에 400개 이상의 학교가 공격의 영향을 받아 피해 규모가 매우 크다.

여름방학이 끝나고 새로운 학기를 시작해야 하는 학교들이 특히 큰 피해를 입었으며, 수업을 취소하거나 개강일을 연기해야 했다. 13만명 이상 학생이 있는 프린스 조지 카운티 공립학교는 학년이 시작되기 2주 전에 네트워크 중단을 초래한 사이버 공격을 받았으며, 1만명의 학생이 재학하고 있는 펜실베니아 교육청은 며칠동안 수업을 중단해야 했다.

병원 랜섬웨어로 응급환자 이송 장애 일으켜

의료기관을 대상으로 한 공격은 더 큰 피해를 입힌다. 공격자들은 환자 정보를 훔치고 공개할 뿐만 아니라 의료 서비스 자체를 중단시켜 환자의 생명을 위협한다. 미국 미시시피 주 최대 의료 체인인 싱잉 리버 헬스 시스템(Singing River Health System)은 8월 랜섬웨어 공격을 당해 의료 서비스를 오프라인으로 전환해야 했으며, 일부 진료소는 검사를 실시할 수 없었다. 이 사고 전에는 주요 병원 네트워크가 공격을 받아 응급시설을 운영하지 못해 응급환자를 다른 시설로 보내야 했다.

미국 의료업체 PHM는 내부 문서와 환자 정보 등을 유출당했는데, 랜섬웨어 확산을 막기 위해 시스템에 연결된 네트워크를 차단해 서비스를 오프라인으로 전환해야 했으며, 파키스탄의 IBL 헬스케어는 직원 급여, 재무정보, 모회사 제약정보 등이 데이터 유출 사이트에 게시됐다.

국내 의료기관도 랜섬웨어 공격 당해

우리나라에서도 랜섬웨어 피해 수위가 높아지고 있는데, 지난해 발생한 침해사고 중 랜섬웨어가 차지하는 비중이 28%에 이르며, 4년간 8.3배 증가했다. 올해 상반기에는 중견기업을 대상으로 한 랜섬웨어가 전년대비 3배 증가했으며, 중소기업 대상 사고는 12% 늘어났다.

국내 의료기관을 대상으로 한 랜섬웨어 피해도 상당한 것으로 알려지고 있다. 실제로 의료기관 IT와 보안 시스템 POC 중 랜섬웨어 악성코드와 공격 시도를 찾은 사례가 다수 알려지고 있다.

한국인터넷진흥원(KISA)의 ‘2023년 상반기 사이버 위협 동향 보고서’에서는 “공격자들이 이전에는 정보를 유출한 후 은밀하게 판매하거나 정치적 목적이나 추가 공격 등을 위해 공개적으로 악용하는 사례가 늘고 있다. 이 같은 협박형 공격으로 인한 피해 뿐만 아니라 해당 조직의 신뢰 하락으로 이어진다”며 랜섬웨어 대응책 마련이 시급하다고 강조했다.

김선애 기자 다른기사 보기