Change Healthcare 랜섬웨어 사건의 교훈

Change Healthcare 랜섬웨어 대참사 개요

  • 2024.02.21, 미국 최대 의료비 지불 처리 회사인 Change Healthcare가 랜섬웨어 공격 받음
  • 매년 150억 건의 의료 청구 정보 교환, 미국 전체 의료비 청구의 40% 차지
  • Change Healthcare는 글로벌 헬스케어 기업인 UnitedHealth의 자회사
  • 참고: UnitedHealth의 기업가치 4,500억 달러 (CEO: Sir Andrew Witty)
  • 참고: Change Healthcare의 기업가치 90억 달러 (2023 매출액: 35억달러)
  • 참고: 2022년에 UnitedHealth가 80억달러에 Change Healthcare를 인수
  • 랜섬으로 인한 시스템 악화 막기 위해 온라인 접속 중단
  • Change Healthcare에 병의원, 약국의 지급 요청 처리 중단
  • 대형의료기관부터 소규모의원, 약국까지 연쇄적으로 유동성 문제 발생
  • 결국 경영진은 랜섬 갱에게 2200만달러 어치의 비트코인 지급하고 문제 시스템 복구
  • 참고: 미국 정치권은 기본적으로 랜섬 지급을 금지하는 정책 고수

사건 발생 4개월이 지난 현재, Change Healthcare에서 탈취한 미국인 의료정보 다크웹에서 유통중
사건 발생 직후, 미국 하원, 행정부, 메디케어, 메디케이드 초당적 대응 및 문제 해결 나서
지난 5월 17일 하원 에너지/상무 위원회에서 청문회 개최

청문회에서 드러난 랜섬 주요 이슈

MFA 없어서 더 쉬운 표적

  • 연간 미국인 1억명 이상의 사용자가 이용하는 수십억 달러 규모의 의료 지불 시스템임에도 불구하고 다중 요소 인증(MFA)이 포함되지 않았음
  • 다중 요소 인증(MFA)은 글로벌 거의 대부분의 조직 레벨 온라인 서비스가 사용하는 매우 기본적인 인증 체계
  • Change Healthcare의 답변: 다른 서버 요소에는 당연히 MFA가 있었는데, 어찌된 일인지 랜섬 대상 서버만 MFA가 없었음

미국인 1/3의 의료정보 탈취

  • 미국인 1/3의 의료정보가 랜섬 갱의 손에 들어간 것으로 추산
  • 하원 소위원회 의장 Morgan Griffith의 추궁
  • Change Healthcare의 답변: 미국인 1/3에 해당

랜섬 지불했으나 데이터 못 찾아

  • 랜섬(몸값)을 지불했지만 랜섬 갱이 다크웹에 데이터를 유출시키는 것을 막을 방법은 없음
  • 랜섬 금액은 비트코인 2200만달러어치
  • 이번 랜섬 갱은 랜섬은 받고 약속 이행 없이 도망치는 Exit Scam 저질러
  • 데이터 유출 방지 각서 같은 것은 확보하지 못했음
  • 랜섬 대참사 이후 랜섬 지급, 시스템 복구, 금융 지원, 대출금 등에 지출한 순수 비용은 8억7200만달러(1조2042억원)

기술적 세부사항

  • ALPHV/BlackCat 랜섬 그룹
  • RaaS(Ransomware as a Service)
  • Lateral Movement 방식으로 6TB의 데이터 수집
  • 랜섬 갱은 시스템 진입 후 랜섬 배포 전 9일간 시스템 정탐

비하인드 스토리

  • 미국 법무부가 경쟁저해 등의 이유로 합병 반대
  • UnitedHealth는 Change Healthcare 인수 후 자회사인 Optum과 시스템 통합, 두 시스템의 사용자 데이터 통합 확보 및 신속한 사업 성과 개선에 집중
  • 최근 랜섬 갱은 인수 합병 과정에 있는 기업의 보안 체계 불일치, IT 거버넌스 격차, 통합 IT 환경 관리에서 기인하는 복잡성 등을 적극 활용해서 공격
  • 기업 인수 합병시 통합적 보안 감사: 피인수 기업의 사이버 보안 태세 평가, 취약점 파악, 사고 대응 능력 평가 필요
  • 셀프 보험이 키운 문제: Change Healthcare는 스스로 손실을 정의하고 보상하는 셀프 보험 운영. 사이버 보험 제공업체는 보험을 승인하기 전에 미리 여러가지 위험 요소의 완화책 요구
  • 정상적인 트래픽으로 가장하는 랜섬 갱의 행동 패턴 감지 체계 필요
  • 랜섬웨어 범죄의 77%는 몸값 탈취와 데이터 탈취를 결합한 이중 탈취(Double Extortion) 유형

사이버 보안 법제화 준비중

미국 정치계: 의료 업계에서 사이버 보안 표준 의무화, 정보 공유 강화 촉구
부실한 보안 통제 능력: 막대한 피해와 비용 손실 초래 가능성

미 하원 에너지/상무 위원회 | What We Learned: Change Healthcare Cyber Attack
https://energycommerce.house.gov/posts/what-we-learned-change-healthcare-cyber-attack

끝 | 감사합니다.

Views: 236

Leave a Reply

Related Posts