PoS 멀웨어에 의한 정보유출 사례로 살펴보는 데이터 보호 대책

게시일: 2016-09-13 l 작성자: Trend Micro

방대한 양의 개인정보를 보유하고 있는 의료기관은 사이버범죄자들에게 매력적인 공격 표적이 됩니다. 대부분의 의료기관은 신용카드 정보, 진료 기록, 건강보험, 주민등록번호 등의 중요한 정보를 저장하고 있습니다. 지난 달, 미국 최대 규모의 비영리 의료기관 ‘Banner Health’를 상대로 정교한 사이버 공격이 행해졌습니다. 이 공격으로 약 370만명의 개인정보 및 재무 데이터가 유출된 것으로 파악되었습니다.

2016년 7월 7일, Banner Health 음식료품 매점의 PoS(Point-of-Sale) 시스템 네트워크에 침입이 발생하였다는 것이 여러 매체를 통해 보도되었습니다. 이 공격을 통해 사이버 범죄자들은 이름, 신용카드 번호, 인증코드 등을 포함한 고객의 신용카드 정보를 탈취했습니다. 추가 조사결과, 환자와 의료진 정보의 개인정보 데이터 또한 유출되었다는 것을 확인하였습니다. 이는 환자와 의료진의 이름, 주소, 의료보험 정보, 진료기록, 주민등록번호 등을 포함하는 데이터입니다.

신용카드 정보와 개인 정보는 각각 별도의 시스템에서 관리되고 있음에도 불구하고, 두 정보가 모두 유출되었다는 점에서 의료 업계의 우려가 고조되는 상황입니다.

유사 과거 사례

위와 같은 정보유출 사례는 하나의 멀웨어가 아닌 여러 악성 프로그램에 의해 발생될 수 있습니다. 트렌드마이크로는 2015년 광범위하게 가해진 ‘Black Atlas 작전’을 일정 기간 추적해 왔으며, 이번 공격과 유사점을 발견했습니다. 당사에서 확인한 바 ‘Black Atlas 작전’의 PoS 악성코드는 정보 수집 및 탈취 기능을 제공하는 Gorynych나 Diamond Fox라는 봇넷이 추가된 것에 불과합니다. 이러한 봇넷 기능은 사이버 범죄자들이 사용할 수 있는 옵션 모듈입니다. 이 외에 키로거와 같은 모듈 또한 옵션으로 활용할 수 있습니다.

‘Black Atlas 작전’은 여러 업종의 중소기업을 표적으로 공격했으며, 그 중에서는 의료기관도 포함되어 있습니다. 사이버 범죄자들은 마치 맥가이버 칼처럼, 각 용도와 기능을 가진 여러 멀웨어 세트로 이루어진 악성 프로그램으로 공격을 가했습니다. 공격은 여러 단계로 나누어져 하나의 특정 멀웨어를 이용해 정보를 수집한 후, 다른 멀웨어를 이용하여 기업 시스템에 더 깊이 침투합니다. 시스템 침투에 성고하면, PoS 멀웨어를 설치하고 금융 데이터 등의 중요한 정보를 수집합니다. PoS에서 네트워크 상의 다른 시스템까지 감염되는 이러한 감염 체인은 이번 Banner Health 공격 사례에서 확인할 수 있습니다.

그림 1. ‘Black Atlas 작전’ 감염 체인

또 다른 원인은 네트워크 구성에 있습니다. PoS 데이터와 의료진 및 환자의 개인 데이터가 저장된 시스템이 동일한 네트워크 또는 플랫 네트워크(flat network)일 경우, 관리 및 유지가 용이한 반면 보안적인 측면에서는 효과적이지 않습니다. 이러한 플랫 네트워크의 시스템 중 하나에 접근하게 될 경우, 나머지 시스템에 쉽게 접근할 수 있습니다.

이번 정보유출 사례로 기업에서 정보유출을 방지를 위해 요구되는 효과적인 보안 대책을 구성할 것을 권장합니다.

  • 원격 접근 서비스를 위해 방화벽 또는 액세스 제어 목록(Access Control List, ACL)을 도입
  • PoS 시스템 및 기타 인터넷 접속 기기의 인증 정보의 디폴트 설정을 변경 또는 제3자에 의해 변경되었는지 확인
  • 측면 공격을 방지하기 위해 네트워크 분리
  • 대규모 조직의 경우 불필요한 정보를 삭제하고 보관되어 있는 정보를 파악
  • 필수 관리가 잘 실시되고 있는지, 지속적으로 이루어지는지 확인
  • 이벤트 로그 모니터링 및 저장
  • 위협 상황을 파악하고 대응 전략의 우선순위를 설정

사이버 범죄자들이 공격 방식을 지속적으로 발전시켜 나간다 해도, 의료기관에서는 항상 한 발 앞선 대책을 강구하고 있어야 합니다. 조직에서 사용하는 서버와 네트워크, 그리고 다양한 사용자 기기를 모니터링 및 감시할 수 있는 다층적인 보안 조치가 필요합니다.


원문: Data Protection Solutions Spring from Exposed PoS Threat