Cappuccino sapiens

지난 9월, 독일 대학병원에서 수술 예정이었던 한 환자가 랜섬웨어 공격으로 병원시스템이 마비 되면서, 수술을 제때 받지 못해 사망하는 사건이 발생하였으며, 이는 랜섬웨어 공격으로 환자가 사망한 첫번째 사례로 기록되었습니다.

COVID-19으로 인한 팬데믹 이후 사이버 보안위협은 크게 증가(71%) 하였으며, 특히 금전적인 이익을 챙길 수 있는 랜섬웨어 공격은 상반기 대비 50% 증가하였습니다.  또한, 최근 랜섬웨어 공격은 보안이 상대적으로 약한 의료기관을 주요 표적으로 삼고있습니다 (2분기 2.3%에서 3분기 4%로 1.7%p 증가).

 ※ Source: 체크포인트 & 디멘셔널 리서치, ”코로나 바이러스가 기업 보안에 미치는 영향“, 6월 3일

의료기관은 의료정보 및 진단결과, 질병관리, 영상정보 처리 등을 위한 EMR, OCS, PACS 시스템 활용도 증가와 기존 폐쇄망의 개방에 따라, IT  보안위협은 물론, 의료기기의 랜섬웨어 공격에 노출되어 있습니다.

랜섬웨어 공격에 대한 모니터링, 분석, 탐지, 차단 등 예방시스템과 전 시스템의 이중화와 백업 등을 통한 대응 시스템 구축에는 막대한 자원(예산, 인력 등)이 필요하며, 이는 과도한 투자일 것입니다. 적정한 보안솔루션을 도입하는 것 외에, 랜섬웨어 공격을 효과적으로 예방 및 대응하기 위한 방안으로는 어떤 것들이 있을까요?

#랜섬웨어 공격 모의 훈련 (Table-top exercise)을 통한 인식제고

의료기관은 랜섬웨어 공격의 원인이되는 이메일 피싱 훈련을 통해, 임직원의 보안인식을 높이고, 랜섬웨어 공격 발생시 시스템 및 데이터 백업복구 등을 통해 서비스 다운타임(Downtime)을 최소화하는 훈련을 실시합니다.

시스템 #보안패치를 통한 사이버 공격에 대한 면역력 강화

해커들은 상대적으로 시간과 노력이 덜 들면서, 성공 가능성이 높은 알려진 보안취약점(CVE)을 사용하는 경향이 있습니다. 따라서, 운영중인 시스템에 대한 보안패치를 함으로써, 알려진 취약점을 차단하고 공격에 대응할 수 있습니다.

얼마전, 미국 재무부는 북한 해킹그룹 등 제재 대상에게 랜섬웨어 몸값을 지불하는 것은 국가안보 이익을 위협하는 행위라고 경고한바 있습니다. 보안 전문가들 사이에서는 랜섬웨어 몸값이 지불되는 현상이 위협을 더욱 키고 있다고 보고, 정부가 적극적으로 나서 랜섬웨어 몸값을 지불하지 못하도록 하는 규제가 필요하다는 입장도 있습니다.

지난 십 여년의 과거를 돌아 보면, 개인정보의 오·남용을 통한 금전적 이득을 차단함으로써,  개인정보 침해사고를 줄여왔던 사례를 떠올리게 됩니다.

빠르게 변하는 인터넷 속도와 IT환경으로 인해, IT시스템 또한 빠르게 교체되어 가고 있습니다. 그렇다고 모든 시스템을 일시에 교체할 수 만은 없는 실정이다 보니, 기존 시스템과 최첨단 시스템이 공존하게 되는 경우가 종종 발생하고 있습니다.

이러한 레거시 시스템은 보안정책의 통제에서 벗어난 쉐도우 IT가 되거나,  SSO, MFA 등 새로운 보안기술을 적용하기에 적합하지 않은 H/W 또는 S/W로 인해 개선된 보안정책 적용이 곤란한 경우도 있습니다. 이로 인한 보안헛점은 해킹 및 데이터 유출 등 조직의 보안위협의 요인이 되기도 합니다. 따라서, 레거시 시스템은 교체되기 전까지 최소한의 적절한 보안대책을 통해 관리될 필요가 있습니다.

모든 레거시 서버를 위한 보안관리

  1. 보안위협 분석 및 보안대책 마련을 위한 보안취약점 분석을 실시합니다.

  2. 레거시 시스템에 대한 위치와 운영환경을 조사합니다.

  3. 레거시 시스템이 관리하고 있는 데이터의 유형에 대해 조사합니다.

  4. 조사한 결과를 기반으로 레거시 시스템을 목록화 합니다.

  5. 데이터 및 시스템의 중요도에 따라 대체 가능한 우선순위를 정합니다.

  6. 각 서버와 응용서비스에 대한 담당자를 지정하여 관리합니다.

인터넷이 연결되지 않은 레거시 서버 보안관리

  1. 가능한 적용할 수 있는 최신의 보안패치를 진행합니다.

  2. 불필요한 응용프로그램 및 서비스 제거, 접근통제 정책 적용, 운영체제 업데이트 등을 통해 운영체제에 대한 보안을 강화합니다.

  3. 접근이 필요한 인원과 접근권한 및 등급을 주기적으로 점검하여 조정합니다.  

  4. 현재 시스템을 지원할 수 있는 컴퓨터 백신을 설치하여 운영합니다.

  5. 가능하면, 파일 무결성 보호 솔루션이나 호스트 기반 F/W 또는 IPS/IDS등을 설치하여 운영합니다.

  6. 주기적으로 데이터 백업을 실시합니다.

인터넷이 연결된 레거시 서버 보안관리

  1. 즉시, 서버를 교체 합니다. 단기적인 교체가 불가능한 경우, 아래의 보안조치를 이행합니다.    

  2. 웹서버인 경우, 서비스의 특성을 반영한 적합한 웹방화벽을 설치합니다.

  3. 보관중인 데이터 및 접근경로에 대한 위험관리 평가를 실시하고, 민감한 데이터가 있는 경우 이전을 계획합니다.

  4. 주기적으로 취약점 진단을 실시하고, 취약점을 제거합니다.

5. 운영을 최소화하여, 발생할 수 있는 트래픽을 제한 합니다.   

※ 원문: Updating Legacy Systems Amid Growing Cybersecurity Concerns