정황상 류크 랜섬웨어일 가능성 높아...환자 네 명 사망했다는 소리도 나와
[보안뉴스 문가용 기자] 랜섬웨어 공격이 포춘 500대 기업에 꼽히는 유명 병원 체인인 유니버설 헬스 서비스(Universal Health Services)에서 발생했다. 공격이 발생한 건 월요일로, UHS 소속 병원 근무자들이 레딧(Reddit) 등의 커뮤니티를 통해 사건을 알리면서 공개됐다.
[이미지 = utoimage]
커뮤니티에 한 번 글이 올라오자 쓰레드가 계속 이어졌다. UHS가 각 지역에서 수백 개의 병원을 운영하는 단체라 직원들이 줄줄이 증언 글을 올린 것이다. 즉, 한 군데 이상의 병원에서 공격이 발생했다는 것을 알 수 있었다. 실제 여러 병원이 시스템 마비로 수동 체제로 전환했다.
한 레딧 사용자는 게시글을 통해 “간밤에 병원 모든 업무가 종이로 진행되는 ‘미친’ 사건이 있었다”고 밝혔다. 그러면서 “응급실 환자를 다른 병원으로 이송했다”고 말하기도 했다. “컴퓨터로 하는 모든 일은, 오래된 연구실 외에는 아무 것도 작동하지 않았고 정상 운영할 수 없었습니다.” 이에 다른 사용자는 “조지아의 UHS 병원도 마비됐다”고 덧붙였다.
IT 매체 테크크런치(TechCrunch)는 “모든 병원 직원들에 컴퓨터를 켜지 말라는 명령이 내려졌다”고 보도하기도 했다. 그러면서 “고장이 고쳐지기 전까지 수일이 걸릴 것 같다”는 안내도 같이 내려온 것으로 알려졌다. UHS는 공식 발표문을 통해 “UHS 시설과 IT 네트워크가 오프라인 상태”라고 알리며 그 이유에 대해 “IT 보안 문제로 인한 것”이라고 설명했다. 아직까지 환자와 의료진의 개인정보가 탈취된 정황은 없다고도 덧붙였다.
UHS는 어떤 종류의 사이버 공격이 벌어졌는지에 대해서는 자세히 밝히지 않았다. 다만 직원들이 온라인 커뮤니티에 공개한 여러 가지 증언들을 검토했을 때 류크(Ryuk) 랜섬웨어가 가장 유력해 보인다. 블리핑 컴퓨터(Bleeping Computer)는 한 직원과의 인터뷰를 통해 “암호화된 파일의 확장자가 RYK였다”는 증언을 확보하기도 했다. 그 밖에 협박 편지가 컴퓨터에 뜬 것을 봤다는 이야기도 있었다. 이 협박 편지에서 Shadow of the Universe라는 문구도 목격됐는데, 이는 류크 공격자들이 사용하는 것이기도 하다.
레딧의 일부 사용자들 사이에서 이 공격 때문에 네 명의 환자가 사망했다고 주장하기도 했는데, 그 어떤 매체나 공식 발표를 통해서도 이 부분이 확인되지는 않고 있다. 해당 내용이 담긴 게시글은 “가장 환자가 몰리는 병원들에서는 응급 환자를 다른 곳으로 이송하는 방식으로 대응하고 있다”고 하며 “그럼에도 진찰 결과 처리와 전송 등 처치가 늦어 사망한 환자가 네 명”이라고 다소 구체적으로 설명하고 있다.
얼마 전 독일의 한 병원에서 환자 한 명이 랜섬웨어 공격 때문에 치료를 받지 못해 사망한 사건이 있었기에 이 주장이 마냥 허위 사실이라고만 볼 수는 없는 상황이다. 독일 수사 당국은 이 공격에 러시아 해커들이 연루되어 있다고 발표했었으나 아직 정확한 사실이 밝혀지지는 않고 있다.
환자 사망과 관련된 내용이 퍼져나가기 시작하자 스스로 UHS의 직원이라고 밝힌 레딧 사용자들이 “사실 우리 시스템이 허술해서 공격에 이미 오래 전부터 노출되어 온 것은 사실이지만 오늘 사람이 죽은 건 아니”라고 반박하기도 했다.
3줄 요약
1. 서구권의 유명 병원 체인인 UHS의 병원들에서 사이버 공격 사건 발생.
2. 공식 발표 나지 않았지만 사용자들의 레딧 글 보면 류크 랜섬웨어인 듯.
3. 환자 네 명이 사망했다는 소식도 있으나 아직 공식 확인된 바는 없음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>