산부인과·정신과 기록까지 빼내…해커 '新시장' 된 의료데이터

“이 편지를 읽고 있을 때 당신의 데이터는 이미 탈취·암호화됐다.”

2023년 4월 국내 신약 제조 기업 E사의 서버 폴더 안에 남겨진 ‘데이터 유출 경고(Data breach warning)’라는 이름의 문서 한 장. “3일 내 연락이 없을 경우 샘플 파일부터 유출하고 7일 안에도 답신하지 않으면 소통을 중단한 뒤 전체 데이터를 공개하겠다”는 노골적 협박이 여기에 담겼다. “요구대로 몸값을 지불하면 데이터는 유출 없이 복호화(암호 해제)될 테니 걱정하지 말라”는 회유 문구도 뒤따랐다. 보안 기업 ‘엔키화이트햇’을 통해 입수한 랜섬노트의 일부다. 공격자인 ‘RA 월드’ 측은 “다른 연락 수단은 없다”면서 자신들이 사용하는 암호화 메신저 주소까지 명시했다.

국제 랜섬웨어 조직들의 관심이 제조업에서 의료·바이오 분야로 옮겨붙으면서 국내에서도 관련 기업이나 병원 등을 겨냥한 사이버 공격이 현실화하고 있다. 17일 서미화 더불어민주당 의원실이 보건복지부로부터 제출받은 자료에 따르면 지난해부터 올해 8월까지 국내 민간 의료기관이 신고한 사이버 침해 사고는 20건으로 집계됐다. 이 중 17건(85%)이 금전 요구 목적의 랜섬웨어였다. 안랩 시큐리티인텔리전스센터(ASEC) 관계자는 “의료 분야에 대한 공격의 급증은 중요 인프라의 특성상 피해자 측이 큰 협상 비용을 지불할 가능성이 높기 때문”이라고 분석했다.

중소 병원들은 큰 보상에 비해 비교적 공격 난도가 낮은 표적으로 꼽힌다. 엔키화이트햇이 재구성한 의료기관 공격 시나리오에 따르면 해커들의 초기 침투에는 주로 웹 상에 노출된 관리자용 페이지나 패치되지 않은 소프트웨어 취약점이 활용된다. 관리자 권한 획득은 직원들의 로그인 정보를 수집해 이뤄진다. 백도어를 심고 나면 내부망을 훑어 민감 자산을 찾는 과정도 일사천리다. 데이터를 통째로 복사·유출한 뒤 암호화해 몸값을 요구하는 과정이 종착점이다. 장기간 USB 메모리 등을 활용한 오프라인 침투까지 병행해야 하는 국가기간시설과는 달리 단순하고 예측 가능한 표적일 뿐이다. 엔키화이트햇 관계자는 “민간 의료기관 공격 70% 이상이 이처럼 대외에 노출된 웹페이지를 거쳐 서비스 취약점을 타고 손쉽게 이뤄진다”고 설명했다.

문제는 이렇게 탈취된 정보가 ‘맞춤형 협박 수단’으로 악용될 수 있다는 점이다. 환자의 병력이나 투약 이력, 보험 정보처럼 민감한 자료가 유출되면 부작용이 특히 심각해진다. 산부인과 기록이나 정신과 이력을 미끼로 개인별 협박·스미싱이 가능할 정도로 활용성이 무궁무진하기 때문이다. 허위 보험금을 청구해 본인부담금과 미납 채무가 속출할 가능성도 있다.

크게는 수술 연기나 응급실 마비로 국가 의료 체계 전반이 심각한 차질을 빚을 우려도 제기된다. 선진국에서는 이 같은 공격을 통해 1건에 수백억 원 이상을 요구하는 초대형 피해가 속출하고 있다. 랜섬웨어 조직 ‘킬린’은 지난해 6월 영국 NHS와 시노비스(민간 혈액검사 업체)를 대상으로 랜섬웨어 공격을 벌여 무려 3억 명의 의료정보와 기록을 대량 유출했다. 이들이 탈취한 정보를 공개하며 5000만 달러(약 695억 원)를 요구하는 바람에 현장 진료와 수술도 다수가 연기·취소됐다. 같은 해 ‘블랙캣’도 미국 의료기업 체인지헬스케어를 공격해 2200만 달러를 수금하며 역대 최악 피해를 일으킨 뒤 돌연 자취를 감춘 바 있다.

의료·바이오 정보 공격은 이제 해커들의 ‘신시장’으로 꼽힌다. 한국에서도 이 같은 위험은 계속 커질 것으로 전망된다. 해커들은 일단 선진국을 대상으로 공격을 벌여 효과를 확인한 뒤 아시아나 중남미권으로 무대를 넓히는 습성이 있기 때문이다. SK쉴더스 관계자는 “최근 들어 한국에서도 이 같은 시도가 등장하고 있을 정도로 병원 공격은 이미 글로벌 트렌드”라며 “기저질환 유무를 포함한 사적 정보는 특히 높은 가치가 매겨져 거래 대상이 되고 있다”고 우려했다.