이원영 기자
미국인 3분의 1 건강 데이터를 다루는 의료 관리 시스템 대기업 CHC(Change Healthcare)가 2024년 2월 발생한 랜섬웨어 공격 조사 결과로 상당 비율 미국인에 관한 방대한 데이터가 도난당했다고 발표했다.
CHC는 2024년 2월 21일 자사 시스템에서 랜섬웨어가 전개되고 있음을 인지했다. 이때 CHC는 확산을 막기 위해 시스템을 차단하고 장비 전원을 끄고 법 집행 기관에 연락해 조사를 시작했다. 그 결과 2월 17∼20일 사이에 대량 데이터가 유출된 게 확인됐다. CHC를 랜섬웨어로 공격했다고 주장하는 그룹은 6TB 분량 데이터를 훔쳤다고 주장하고 있다.
사이버 보안 전문가 협력으로 유출 데이터 검증을 진행하던 CHC는 6월 20일 분석 결과 CHC는 영향을 받은 데이터가 미국민 상당 비율에게 미칠 가능성이 있음을 공식적으로 확인했다고 발표했다. 조사는 최종 단계지만 여전히 진행 중이어서 아직 어떤 데이터가 피해를 입었는지는 완전히 파악되지 않았지만 이름, 주소, 생년월일, 전화번호, 이메일과 같은 연락처 외에도 다음 중 하나 이상의 데이터가 포함되어 있을 가능성이 있다. 건강 보험 정보(건강 보험 플랜, 보험 회사, 회원 번호, 의료 보조 사업 관련 ID 번호 등)나 건강 정보(의료 기록 번호, 의료 제공자, 진단, 의약품, 검사 결과, 영상, 케어, 치료 등에 관한 것), 청구서, 과금 및 지불 정보(청구 번호, 계좌 번호, 청구 코드, 지불 카드, 재무 및 은행 정보, 결제액, 지불 잔액 등), 기타 개인 정보(사회 보장 번호, 운전면허증, 주 ID 번호, 여권 번호 등) 등이다.
영향을 받는 범위는 균일하지 않지만 지금까지 완전한 병력이 유출된 사례는 없다고 한다. 또 이런 정보는 환자 본인 것이 아닐 수 있으며 의료 서비스에 요금을 지불한 사람 데이터일 수도 있다.
CHC는 자신이 피해를 입었는지 확인하고 싶은 이들로부터의 전화 문의 접수를 시작함과 동시에 7월말부터는 피해자에게 공식적인 데이터 유출 통지서를 우편으로 발송할 예정이라고 한다.
사태 수습을 위해 CHC 모기업인 유나이티드헬스(UnitedHealth)는 블랙캣(BlackCat)이라고 불리는 랜섬웨어 그룹에 2,200만 달러 몸값을 지불했다. 이 몸값은 블랙캣과 공격에 관여한 다른 관련 조직과 나눠 가질 예정이었지만 블랙캣이 전액을 가지고 도망가 몸값을 받지 못한 관련 조직은 훔친 데이터를 약속대로 삭제하는 걸 중단했다고 발표했다.
이후 관련 조직은 CHC에서 탈취한 개인 정보 일부를 데이터 유출 사이트에서 유출하고 추가 지불을 요구했다. 이 유출도 곧 삭제됐는데 이는 유나이티드헬스가 추가 몸값 요구에 응한 것을 보여준다는 지적이다.
과거에는 몸값을 지불한 조직 80%가 2번째 피해를 입었다는 조사 결과가 발표됐으며 몸값 지불은 사이버 범죄 조직을 조장할 뿐이라는 관점에서 미국 주도 국제 랜섬웨어 대책 이니셔티브(CRI)는 몸값을 지불하지 않는 방침을 내세우고 있다.
유나이티드헬스는 CHC에 대한 랜섬웨어 공격으로 발생한 손실을 2024년 4월 시점 8억 7,200만 달러로 추정하고 있으며 향후 조사와 복구로 인해 손실액이 더 증가할 가능성이 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
