체인지 헬스케어 랜섬웨어 공격으로 1억 명 이상 피해 발생...시트릭스 원격 액세스 취약점 악용해 공격

미국 의료 데이터 유출 사건 중 가장 큰 규모

이번 사건으로 유나이티드헬스 그룹, 3분기까지 약 24억 5천만 달러 손실 발생

유나이티드헬스 그룹(UnitedHealth Group)의 자회사인 체인지 헬스케어(Change Healthcare)가 랜섬웨어 공격을 받아 약 1억 명에 달하는 고객의 민감한 의료 정보가 유출된 것으로 확인됐다. 이번 사건은 미국 의료 데이터 유출 사건 중 가장 큰 규모로, 많은 전문가들이 그 심각성을 주목하고 있다.

체인지 헬스케어는 2024년 2월 블랙캣(BlackCat, ALPHV) 랜섬웨어 그룹의 공격을 받았다. 이들은 체인지 헬스케어의 시트릭스(Citrix) 원격 액세스 시스템에서 다중 인증이 미비한 점을 악용해 침투에 성공했다. 이번 공격으로 약 6 테라바이트(TB) 규모의 데이터를 탈취했으며, 이로 인해 미국 내 수많은 약국과 병원들이 의료 청구 처리 시스템이 중단되면서 환자들이 약값을 전액 지불하는 사태까지 벌어졌다.

체인지 헬스케어는 랜섬웨어 그룹으로부터 탈취된 데이터를 복구하고 삭제 약속을 받기 위해 약 2,200만 달러를 지급한 것으로 알려졌다. 그러나 이 과정에서 문제가 발생했다. 랜섬웨어 운영팀 블랙캣의 내부 구성원 중 일부가 해당 금액을 받지 못했다며 데이터를 유출하겠다고 협박하고, 새로운 랜섬웨어 조직인 랜섬허브(RansomHub)와 협력해 추가적인 금전을 요구하는 상황이 이어졌다.

미국 보건복지부(Department of Health and Human Services, HHS)는 이번 사건이 약 1억 명의 미국인을 대상으로 한 것으로 파악해 조사에 착수했다. 유출된 데이터에는 건강보험 정보, 의료 기록, 청구 내역 및 사회보장번호 등 개인 식별 정보가 포함되어 있으며, 각 개인의 노출된 정보는 상이한 것으로 나타났다.

이번 사건으로 유나이티드헬스 그룹은 3분기까지 약 24억 5천만 달러의 손실을 입은 것으로 추정된다. 이는 의료 시스템의 보안 문제가 얼마나 심각한지 다시 한번 일깨워주는 사건으로, 특히 사이버 범죄자들이 의료 데이터를 주된 타깃으로 삼고 있는 현실을 보여준다.