의료 기관을 노리는 Killnet - 알아야 할 것과 해야 할 것
최근 미사일과 드론 공습이 이어지며, 우크라이나 전쟁이 다시 가열되고 있습니다. 서방 동맹국들이 러시아군을 밀어내기 위한 탱크 지원을 약속한 후에 격해지고 있는 것입니다. 그러나 사이버 범죄자에 대한 전쟁은 더욱 가까운 곳에서 벌어지고 있으며, 특히 미국 의료 기관과 병원에서 활발하게 일어나고 있습니다.
친러시아 그룹 Killnet은 지난 며칠 동안 미국 내 주요 병원과 의료 센터를 대상으로 일련의 DDoS(Distributed Denial-of-Service) 공격을 가했으며, 많은 전문가들은 이와 유사한 공격이 우크라이나를 지원하는 다른 국가들에서도 광범위하게 확산될 수 있다고 주장합니다.
Killnet이 친숙한 이유
Killnet은 새로운 것이 아니며, 정부 기관, 민간 기업(이제는 의료 기관까지)을 대상으로 하는 공격의 성격이 진화하고 있습니다. Killnet은 최근 DDoS 공격으로 유럽 연합 의회(EP) 웹사이트를 다운시킨 친러시아 해커 단체이며 이에 앞서 로베르타 메쏠라(Roberta Metsola) 의장은 EP의 지도자들이 "러시아를 테러 후원국으로 선포"했다고 발표했습니다. 리투아니아, 체코, 루마니아 정부의 웹사이트도 공격을 받았습니다.
미국 내 공격은 더욱 광범위하게 이루어지고 있습니다. Killnet은 작년에 3여 곳의 주정부 웹사이트를 노렸습니다. 2022년 10월 미국 공항 웹사이트도 Killnet으로부터 피해를 입었고 2022년 8월 사이버 공격으로 방위 산업체 Lockheed Martin의 직원 데이터를 훔친 것도 Killnet이었습니다.
이러한 모든 기관이 중요한 인프라지만, 의료 시스템을 공격하는 것은 한 단계 더 나아가 일거에 수백만 명의 환자들에게 타격을 줄 수 있는 잠재력이 있습니다.
일반적인 기법, 고유한 표적
Killnet은 먼저 HTTP 플러드로 웹사이트를 공격한 다음 DNS 확대 공격으로 사이트를 공격하는 2단계 공격을 사용합니다. 이 기법이 독특한 것은 아니지만, Killnet이 최근 의료 업계에 집중하고 있다는 사실은 새롭습니다.
작년 말 바이든(Biden) 행정부가 대대적으로 의료 부문의 사이버 보안 가이드 및 요구사항을 강화한 것을 고려하면 친러시아 조직이 취약점을 이용하는 것이 전혀 놀라운 일이 아닙니다. 이러한 취약점이 가정인지 확인이 되는지 여부는 중요하지 않습니다.
Akamai가 알고 있는 것 - 도울 수 있는 방법
Killnet 공격자들은 표적에 대해 광범위한 리서치를 수행하고 있으며, 최근 이벤트에서 의료 업계를 계속 주요 표적으로 노릴 가능성이 있다는 사실이 드러났습니다. 의료 업계가 빠르게 디지털화함에 따라 체계, 인프라, 방어에 대한 논의도 진화하고 있습니다.
Akamai는 이러한 논의에 익숙하며, 데이터를 검토하고 공격자 정찰 기법을 검토함으로써 선제적으로 대화를 주도하고 있습니다. 의료 부문의 경우 2022년 Akamai 플랫폼에서 DDoS 공격 을 가장 많이 받은 업계(디지털 상거래 등 업계의 기존 특성상 규모가 큰 주요 업계는 제외)이기 때문에 특히 중요합니다.
Akamai가 관측한 바에 따르면 Killnet 같은 조직들은 현재 누가 보호되고 있는지, 누가 보호되고 있지 않은지를 잘 알고 있는 것처럼 보입니다. DDoS 공격은 잘 보호되지 않는 엔티티에 집중하는 경향이 있습니다. 공격자는 세심하고 정밀한 정찰을 통해 다음에 공격할 표적을 결정합니다.
리스크를 해결하는 데 필요한 것을 평가하는 데 필요한 시간과 리소스를 확보하는 것은 어렵지만, 평시에 수립된 대응 계획 없이 사이버 전쟁에 나서는 것보다 더 나쁜 것은 없습니다."
Akamai 보안 운영 담당 부사장 로저 바랑코(Roger Barranco)
간단한 HTTP 요청 또는 BGP 피어링 검색은 공격자 머신에서 표적 웹 서버로의 요청 경로를 검증하거나 표적 인프라가 BGP 및 라우팅 기반의 DDoS 차단 기능에 의해 보호되는지를 판단할 수 있습니다.
다음 단계는 무엇일까요?
아무도 미래를 예측할 수 없습니다. 하지만 최근 코로나19, 수익 감소, 인력 부족 등 수많은 문제로 어려움을 겪고 있는 업계로 이 부문에서의 준비 상태에 대한 논의는 임상 또는 재무 결과에 맞춰졌을 가능성이 높습니다.
바뀌어야 하는 부분입니다. 오늘날 환자를 보호하는 것은 마스크 착용이나 예방 접종을 시행하는 것 이상의 문제입니다. 환자의 개인 데이터를 보호하고 시스템을 전체적으로 보호함으로써 연중무휴 24시간 의료 서비스를 제공하는 것입니다. 위협 준비 상태 평가도 논의의 필수적인 부분이며, Akamai는 이를 주도할 수 있는 역량을 갖추고 있습니다.
기업이 방어 체계의 비교적 취약한 레이어와 관련된 리스크를 수용할 경우 프로비저닝 시간, 프로비저닝 동안의 영향, 기존 장비 설정 요구사항, 비용 등 최소한 비상 상황에 대한 온보딩 노력을 통해 업무를 수행하는 데 필요한 사항을 기술적으로 평가해야 합니다."
Akamai 보안 운영 담당 부사장 로저 바랑코(Roger Barranco)
자세히 알아보기
DDoS 공격의 진화와 위협 증가에 대해 자세히 알고 싶으신가요? 30분 길이의 보안 아키텍처 검토를통해 Akamai 전문가가 리스크 여부를 파악하는 데 도움을 드립니다.
