미국 의료보험 업체 엑셀루스 블루크로스 블루쉴드 1년 전에 뚫려
금융업계 빼놓고는 제대로 정보보안 체제 갖춘 곳 없다고 봐야
[보안뉴스 문가용] 또 다른 의료보험 업체인 엑셀루스 블루크로스 블루쉴드(Excellus BlueCross BlueShield, 이하 EBB)에서 정보 유출사고가 발생했다. 공격자들은 매우 고차원적인 수단을 활용해 EBB의 IT 시스템뿐 아니라 모회사인 라이프타임 헬스케어 컴퍼니즈(Lifetime Healthcare Companies)에도 침투한 것으로 드러났다. 그 결과 천만 명 이상의 개인정보에 접근한 것으로 보인다.
EBB는 지난 8월 5일, 누군가 자신들의 고객 정보가 담겨 있는 IT 시스템에 침투한 사실을 인지했으며, 수사 결과 최초의 공격은 2013년 12월 23일에 이루어졌음을 알아냈다고 지난 수요일에 보도했다. 이번 사건의 수사에는 FBI도 참여했으며, 미국 정부기관과 이런 류의 사건에 협조를 자주하는 맨디언트(Mandiant)도 EBB의 수사 및 피해복구 의뢰를 받았다고 알려져 있다.
현 시점까지, 2015년 한 해 동안 의료업계를 표적으로 한 사이버 공격은 앤섬(Anthem), 프리메라 블루(Premera Blue), 크로스(Cross), 라이프와이즈(LifeWise), UCLA 헬스 시스템(UCLA Health System), 케어퍼스트 BCBS(CareFirst BCBS)에서 일어났으며 보안 전문가들은 이 사건들 중 몇몇은 중국 해커들의 소행이라고 강력히 의심하고 있다. 그게 맞다면 의료업계를 노리는 해커들의 목적은 돈이 아니라 정보라는 결론에 다다르게 된다.
의료와 관련된 개인정보 및 데이터를 노리는 공격자들이 갈수록 늘어나고 있다. 이는 행정적으로 개인을 식별하게 해주는 개인정보보다 더 확실하게 개인을 증명해주는 귀중한 정보가 바로 의료정보이기 때문이다. 덕분에 2015년 가장 많은 표적이 된 정보 중 의료정보가 두 번째로 순위가 높다(약 1억 9천 6백만 건).
EBB를 해킹한 공격자들 역시 이러한 정보에 손을 댔을 가능성이 무척 높다. 또한 아직까지 이런 정보를 삭제했다거나 수정했다는 정황이나 증거가 발견되지도 않았다. 마찬가지로 해커가 탈취한 것으로 보이는 1천 만건의 EBB 정보를 악용한 사례도 공식적으로는 발견된 바가 없다. 적어도 아직까지는.
“이제 유출사고는 죽음이나 실패처럼 누구나 살아가면서 꼭 한 번쯤 겪는 것이 되었습니다. 그렇기에 암호화나 여러 겹의 보안 장치 설치는 기본이 되어 가고 있죠. 이중인증도 마찬가지고요.” 아이디 도난 방지 전문기업인 IDT911의 설립자 아담 레빈(Adam Levin)의 설명이다.
“아직까지 공식적으로 정보가 유출된 정황은 없다고 하고 파일들이 전부 암호화되어 있었다고는 하는데, 사실 공격자들이 1년이 넘게 네트워크에 잠입해있었다고 한다면 암호화도 무용지물이었을 겁니다. 관리자 권한을 가지고 있었을 게 당연하거든요.” 이는 멀웨어바이츠(Malwarebytes)의 멀웨어 분석가인 아담 쿠자와(Adam Kujawa)의 설명이다.
쿠자와는 이 사건이 드러내는 건 여전히 허약하기 그지없는 정보 보안 실태라고 지적한다. “금융권은 보안을 제대로 하고 있는 거 같아요. 하지만 그 외 산업들은 솔직히 말해 멀었다고 봅니다. 아직도 정보보안이란 게 굉장히 낯선 개념이에요. 의료업계도 그 중 하나고요.”
정보보안을 강화하기 위해서는 1) 직원 교육과 2) 필요한 보안 툴 및 제품 설치, 3) 프라이버시 관련 정책 마련 등이 중요한데 이 중 하나라도 제대로 실천하는 회사가 드물다는 게 레빈의 설명이다. “그리고 이런 사건에 어떤 형태로든 연루가 된 곳이라면 적어도 기존의 사용자 ID와 암호 등을 바꿔줘야 하는데 그것조차 제대로들 안 하고 있죠.”
한편 이번에 1천 1만 건의 정보가 유출된 것으로 보이는 EBB는 향후 2년 간 고객들에게 무료로 아이덴티티 도난 방지 서비스를 제공할 예정이라고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>