위험에 처한 미국 의료 서비스: 랜섬웨어 공격에 대한 복원력 강화

일반적으로 사이버 범죄자의 공격 프로세스는 2단계 접근 방식을 따르는데, 먼저 주로 피싱이나 취약성 악용을 통해 네트워크에 대한 초기 액세스 권한을 얻은 다음 랜섬웨어를 배포하여 중요한 시스템과 데이터를 암호화합니다. 합법적인 도구의 사용과 RaaS의 확산 등 이러한 전술이 진화함에 따라 공격에 대한 접근성과 그 빈도가 높아졌습니다.

의료 기관을 대상으로 한 작전에서는 매우 구체적인 미끼를 사용하는 경우가 많습니다. Mott는 그 예로 위협 행위자가 부검 보고서 내용을 언급하는 등 의료 관련 전문 용어를 사용한 이메일을 작성하여 신뢰도를 높이고 의료 전문가를 성공적으로 속이는 방법을 강조합니다. 

특히 의료 서비스와 같은 압박이 심한 환경에서 이와 같은 소셜 엔지니어링 전술은 의료계 종사자가 흔히 느끼는 긴급성을 악용하여 잠재적인 보안 실수를 저지르도록 유도합니다. 

Mott는 공격자가 탐지를 회피하기 위해 종종 "실명, 합법적인 서비스, IT 부서에서 일반적으로 이용하는 도구(예: 원격 관리 도구)"를 사용하는 등 공격 방법이 점점 더 정교해지고 있다는 점도 지적합니다. 이러한 전술은 보안 시스템이 악의적인 활동과 합법적인 활동을 구별하기 어렵게 만듭니다. 

Microsoft 위협 인텔리전스 데이터를 보면 공격자가 과거에 식별된 적 있는 조직의 소프트웨어나 시스템의 알려진 취약성을 악용하는 경우가 많다는 것 또한 알 수 있습니다. 이러한 CVE(공개 취약점 및 노출)는 문서화가 잘 되어 있고 공개된 패치 또는 수정 버전이 있으며 공격자들은 많은 조직이 아직 이러한 약점을 해결하지 않았다는 것을 알고 있기 때문에 이러한 오래된 취약점을 표적으로 삼는 경우가 많습니다.¹⁸

공격자는 초기 액세스 권한을 얻은 후 네트워크 정찰을 수행하는 경우가 많으며 이는 비정상적인 검사 활동과 같은 지표로 식별될 수 있습니다. 이러한 작업은 위협 행위자가 네트워크를 파악하여 전략을 세우고, 중요한 시스템을 식별하고, 공격의 다음 단계인 랜섬웨어 배포를 준비하는 데 도움이 됩니다.

점점 더 정교해지는 랜섬웨어 공격 위험에 직면한 의료 기관은 사이버 보안에 대한 다각적인 접근 방식을 채택해야 합니다. 환자 치료의 연속성을 유지하면서 사이버 인시던트에 저항 및 대응하고 그로부터 복구할 준비가 되어 있어야 합니다.

다음 지침은 복원력을 강화하고, 신속한 복구를 보장하고, 보안 중심 인력을 육성하고, 의료 부문 전반에 걸쳐 협업을 촉진하기 위한 포괄적인 프레임워크를 제공합니다.

랜섬웨어 공격에 대비하고 대응하려면 의료 서비스 사이버 보안의 효과적인 거버넌스가 필수적입니다. 캘리포니아 대학교 샌디에이고 의료 서비스 사이버 보안 센터의 Dameff와 Tully는 명확한 역할, 정기적인 교육, 학제 간 협력을 통해 강력한 거버넌스 프레임워크를 구축할 것을 권장합니다. 이를 통해 의료 기관은 랜섬웨어 공격에 대한 복원력을 강화하고 심각한 중단 상황에서도 환자 치료의 연속성을 보장할 수 있습니다.

이 프레임워크의 주요 측면은 임상 직원, IT 보안 팀, 응급 관리 전문가 간의 사일로를 허물고 응집력 있는 인시던트 대응 계획을 개발하는 것입니다. 이러한 부서 간 협력은 기술 시스템이 손상되었을 때 환자의 안전과 치료의 질을 유지하는 데 필수적입니다.

Dameff와 Tully는 인시던트 대응 계획을 검토하고 업데이트하기 위해 정기적으로 만남을 가지는 전담 거버넌스 기구 또는 위원회의 필요성 또한 강조합니다. 이들은 이러한 거버넌스 기구가 현실적인 시뮬레이션과 훈련을 통해 대응 계획을 테스트할 수 있도록 지원하여 종이 기록에 익숙하지 않을 수 있는 젊은 임상의를 포함한 모든 직원이 디지털 도구 없이도 효과적으로 운영할 수 있도록 준비시킬 것을 권장합니다.

더 나아가 Dameff와 Tully는 외부 협업의 중요성을 강조합니다. 이들은 대규모 인시던트 발생 시 병원이 서로 지원할 수 있는 지역적 및 국가적 프레임워크를 주창하며, 손상된 시스템을 일시적으로 대체할 수 있는 "국가 차원의 전략적 기술 비축"의 필요성을 강조합니다.

랜섬웨어 공격을 효과적으로 저지할 수 있는 계층화된 보안 태세를 구축하려면 심층 방어 전략을 채택하는 것이 중요합니다. 이 전략에는 네트워크에서 엔드포인트, 클라우드에 이르기까지 의료 서비스 인프라의 모든 계층을 보호하는 것이 포함됩니다. 의료 기관은 여러 방어 계층을 마련함으로써 성공적인 랜섬웨어 공격의 위험을 줄일 수 있습니다.

Microsoft 고객을 위한 이러한 계층화 접근 방식의 일환으로 Microsoft 위협 인텔리전스 팀은 악의적 동작을 적극적으로 모니터링합니다. 그러한 활동이 탐지되면 직접 알림이 제공됩니다.

이는 유료 또는 특정 계층에 제공되는 서비스가 아니며 모든 규모의 기업이 동일한 알림을 받습니다. 목표는 랜섬웨어를 포함한 잠재적인 위협이 탐지되면 즉시 경고를 제공하고 조직을 보호하기 위한 조치를 취하는 데 도움을 주는 것입니다.

이러한 방어 계층을 구현하는 것 외에도 효과적인 인시던트 대응 및 탐지 계획을 세우는 것이 중요합니다. 계획을 세우는 것만으로는 충분하지 않습니다. 의료 기관은 실제 공격 시 계획을 효율적으로 시행하여 피해를 최소화하고 빠르게 복구할 수 있도록 준비되어야 합니다.

마지막으로, 지속적인 모니터링과 실시간 탐지 기능은 잠재적인 위협을 즉시 식별하고 해결할 수 있도록 하는 강력한 인시던트 대응 프레임워크의 필수 구성 요소입니다.

의료 서비스 분야의 사이버 복원력에 대해 자세히 알 수 있도록 미국 HHS(보건복지부)는 의료 기관이 영향력이 큰 사이버 보안 관행 구현의 우선순위를 파악하는 데 도움을 주는 자발적인 의료 서비스 특화 CPG(사이버 보안 성과 목표)를 발표했습니다.

일반적인 업계 사이버 보안 프레임워크, 지침, 모범 사례, 전략을 사용하여 공동의 공공/민간 파트너십 프로세스를 통해 만들어진 CPG는 의료 기관이 사이버 준비성을 강화하고, 사이버 복원력을 개선하고, 환자 건강 정보 및 안전을 보호하는 데 사용할 수 있는 사이버 보안 관행의 하위 집합으로 구성됩니다.

보안 중심 인력을 양성하려면 여러 분야에 걸친 지속적인 협업이 필요합니다. IT 보안 팀, 응급 관리자, 임상 직원 간의 사일로를 허물고 응집력 있는 인시던트 대응 계획을 개발하는 것이 중요합니다. 이러한 협력이 없으면 병원의 나머지 부분은 사이버 인시던트 발생 시 효과적인 대응이 가능하도록 적절하게 준비되지 않을 수 있습니다.

Dameff와 Tully는 별도로 구분되어 일하는 경우가 많은 의사, 응급 관리자, IT 보안 직원과 같은 내부 팀을 통합하는 것이 중요하다고 강조합니다. 이러한 그룹을 모아 포괄적인 인시던트 대응 계획을 설계하고 구현하면 공격 중 운영상의 혼란을 막을 수 있습니다.

지역 수준에서 의료 기관은 의료 시설이 수용 능력과 자원을 공유할 수 있도록 파트너십을 구축하여 일부 병원이 랜섬웨어의 영향을 받는 경우에도 환자 치료가 계속될 수 있도록 해야 합니다. 이러한 형태의 집단 방어는 환자 쏠림을 관리하고 여러 의료 서비스 제공자에게 부담을 분산시키는 데도 도움이 될 수 있습니다.

지역적 협력을 넘어서는 국가 및 글로벌 정보 공유 네트워크가 중추적인 역할을 합니다. Health-ISAC와 같은 ISAC(정보 공유 및 분석 센터)는 의료 기관이 중요한 위협 정보를 주고받을 수 있는 플랫폼 역할을 합니다. Health-ISAC의 최고 보안 책임자인 Errol Weiss는 이러한 조직을 회원 조직이 공격 및 입증된 완화 기술에 대한 세부 정보를 신속하게 공유할 수 있는 "가상 이웃 감시 프로그램"이라고 표현합니다. 이러한 정보 공유는 다른 이들이 유사한 위협에 대비하거나 해당 위협을 제거하는 데 도움이 되며 더 큰 규모로 집단 방어를 강화합니다.