상급종합병원 41곳 로그인 정보 다크웹서 유통…"관리자 계정도 포함"

北 해커들은 왜 '서울대병원'을 공격했나
검사결과‧진단명‧의학사진 등 민감 의료정보도 유출
"의료기관 정보보호 투자 미흡…전면 개선 필요"

[아이뉴스24 김혜경 기자] 북한 해킹조직이 2년 전 발생한 서울대병원 개인정보 유출 사건 배후로 지목되면서 공격 배경에 관심이 쏠린다.

수차례 해킹을 시도했다는 점에서 정보수집, 금전 탈취 등의 목적이 제기되는 가운데 의료기관의 취약한 정보보호 시스템이 맞물린 영향으로 풀이된다. 국내 상급종합병원의 90%에 해당하는 곳에서 로그인 정보가 유출돼 다크웹에서 불법 유통되고 있는 것으로 나타났다.

사이버보안 기업 S2W가 국내 상급종합병원 45곳을 대상으로 2021년 9월부터 현재까지 다크웹 내 정보 유출 실태를 분석한 결과 41곳의 계정정보 1천538개가 다크웹에서 유통되고 있는 것으로 나타났다. [사진=S2W]

12일 사이버보안 기업 S2W가 국내 상급종합병원 45곳을 대상으로 2021년 9월부터 현재까지 다크웹 내 정보 유출 실태를 분석한 결과 41곳의 계정정보 1천538개가 다크웹에서 유통되고 있는 것으로 확인됐다. 다크웹은 특정 브라우저로만 접근할 수 있는 웹사이트로 개인정보와 마약, 음란물 등 불법적인 정보가 거래되는 곳이다.

S2W가 집계한 통계는 의료기관 홈페이지에 접속할 때 사용하는 환자 개인의 로그인 정보를 비롯해 직원의 관리자 계정도 포함된 수치다. 대부분은 '스틸러로그'로 악성코드로부터 추출된 계정을 뜻한다.

일반적으로 다크웹 유통 정보는 정확한 유출 시점을 알기 어렵지만 스틸러로그의 경우 상대적으로 최근 데이터라는 점과 지속적으로 유출 가능성이 높으므로 보안 관점에서 중요하다고 S2W는 설명했다. 특히 관리자 계정이 탈취될 경우 내부시스템 접근이 쉬워지므로 각별한 주의가 필요하다.

올해 기준 계정정보 유출이 확인되지 않은 곳은 세브란스병원(신촌)과 경북대병원, 경희대병원, 칠곡경북대병원 등 4곳에 불과했다. 서울대병원의 경우 다크웹 내 유출된 계정은 235개로 집계됐다. 80건을 기록한 분당서울대병원과 합할 경우 전체 상급종합병원 가운데 유출 계정 수가 가장 많았다.

의료기관 유형별 계정정보 유출 실태를 보면 협회‧기관이 5천131개를 기록해 가장 많았다. 이어 ▲일반의원(3천489개) ▲치과의원(2천886개) ▲종합병원(2천673개) ▲상급종합(1천538개) 등의 순으로 집계됐다.

의료기관 유형별 계정정보 유출 건수 [사진=S2W]

경찰청 국사수사본부와 개인정보보호위원회에 따르면 북한 해킹조직은 2021년 5~6월 국내외 서버 7대를 장악해 공격 기반을 마련한 뒤 서울대병원 내부망에 침입해 약 83만명의 개인정보를 탈취했다.

조사 결과 총 세 차례에 걸쳐 개인정보가 탈취됐다. 첫 번째 공격은 2021년 6월께 이뤄졌다. 웹셸(Web Shell) 공격으로 유휴 서버 내부의 개인정보가 유출된 것으로 나타났다. 웹셸은 시스템에 명령을 내릴 수 있는 코드다. 웹서버 취약점을 통해 서버 스크립트가 게재되면 공격자는 원격으로 웹서버를 조종할 수 있다. 이 공격으로 2만2천20명의 개인정보가 유출됐다.

두 번째 공격이 포착된 것은 약 1년이 지난 시점이다. 공격자는 이미 확보한 계정정보를 이용해 병리자료 서버에 침입, 81만38명의 진료정보를 탈취했다. 이후 해커는 1차 공격과 동일경로를 이용해 내부망 전자사보 데이터베이스(DB)에 접속한 후 1천953명의 직원 정보를 빼돌린 것으로 확인됐다. 검사결과와 진단명, 의학사진 등 민감한 의료정보까지 포함됐다는 점에서 이번 사안의 중대성을 고려해야 한다는 분석이다.

보안업계 한 관계자는 "최초 공격이 포착됐을 때 웹셸만 제거하고 취약점은 그대로 방치했기 때문에 3차 공격까지 이어질 수 있었던 것"이라며 "공격자가 고도의 해킹 기법을 사용하지도 않았고 1차 공격 이후 외부에 알려졌는데도 불구하고 정보가 재차 유출됐다는 것은 경각심을 가지지 않았다는 것"이라고 말했다.

윤영덕 더불어민주당 의원실이 지난해 교육부로부터 제출받은 서울대병원 개인정보 유출 현황 자료 [사진=윤영덕 의원실]

앞서 2021년 11월 한 해커가 다크웹에 한국의 병원·기업에서 탈취한 개인정보를 판매한다는 글을 올려 논란이 인 바 있다. 개인정보를 겨냥한 공격 유형은 사용 중인 계정을 탈취하거나 유출로 끝나지 않고 판매로 이어질 가능성이 높다. 당시 몇몇 의료기관은 보안기업과 분석 작업은 실시했지만 예산이 부족해 근본적인 조치는 불가능하다는 입장을 내비친 것으로 알려졌다. 다만 현재까지 발생한 2차 피해는 없다는 것이 당국 설명이다.

지난 10일 열린 개인정보위 전체회의에서 서울대병원 최고정보보호책임자(CISO)는 "현재 전수조사를 통해 취약점을 찾고 보안 인력을 채용하는 등 보안 조치를 강화했다"며 "의료정보시스템 전면 개선도 필요하다"고 말했다.

이어 "민감 정보를 다룬다는 의료기관 특성상 시스템 설계 단계부터 개인정보 보호 중심의 설계가 적용되도록 해야 한다"며 "이번 사건을 계기로 내부적으로는 '정보보호‧개인정보 보호 관리체계 인증(ISMS-P)'까지 받아야 한다는 의견도 제기되고 있다"고 덧붙였다.

서상덕 S2W 대표는 "한국이 의료 강국임에도 불구하고 보안 측면에서 봤을 때는 해킹에 무방비 수준으로 취약한 의료기관이 절대 다수"라면서 "보안 관련 투자가 미흡한 것이 가장 큰 원인"이라고 말했다.

신동휘 스틸리언 최고기술책임자(CTO)는 "의료기기와 사물인터넷(IoT) 기술의 융합이 가속화되면서 발생할 수 있는 사고 범위는 확대되고 있다"며 "의료기관의 정보보호 투자 수준을 반드시 높여야 한다"고 말했다.

/김혜경 기자(hkmind9000@inews24.com)