에식스 NHS 트러스트, 2년 만에 킬린 침해 사고 확인
에식스의 한 NHS 트러스트가 킬린(Qilin) 랜섬웨어 공격 중 환자 기록이 도난당했다는 사실을 확인한 최신 의료 기관이 되었으며, 이 폭로는 해당 그룹이 처음으로 NHS 시스템을 공격한 지 약 2년 만에 나왔습니다. 늘어나는 NHS 랜섬웨어 침해 환자 데이터 보호 문제는 이제 단순히 병원 IT 팀의 기술적 문제만은 아닙니다. 기록이 도난당한 환자들에게는 잠재적 사기, 피싱 및 신원 도용의 시계가 이미 오래전부터 째깍거리고 있었습니다.
이번 공개는 의료 분야의 랜섬웨어 사고가 깔끔한 타임라인에 따라 진행되는 경우가 거의 없다는 점을 상기시킵니다. 피해자는 물결처럼 연이어 식별되고, 통지는 늦게 도착하며, 도난당한 데이터의 전체 범위를 파악하는 데 몇 달, 때로는 몇 년이 걸릴 수 있습니다.
어떤 NHS 트러스트가 기록 도난을 확인했나
킬린 그룹은 처음에 2024년 6월 NHS 공급업체인 Synnovis를 표적으로 삼아, 킹스 칼리지 병원(King's College Hospital)과 가이즈 앤드 세인트 토마스(Guy's and St Thomas')를 비롯한 여러 런던 병원에서 수혈 서비스와 병리 업무를 방해했습니다. 이 공격으로 수술이 취소되고 의료진이 중요한 검사 결과에 접근하지 못한 채 업무를 수행해야 했습니다.
에식스 트러스트의 확인은 그 영향 범위가 확대되고 있음을 의미합니다. 병원들이 자체 시스템을 감사하고 유출된 데이터 덤프를 교차 참조하면서, 더 많은 트러스트가 공식적으로 영향을 받은 환자들에게 통지할 수 있는 단계에 도달하고 있습니다. 이러한 유형의 NHS 침해 사고에 연루되는 데이터 범주에는 일반적으로 이름, 생년월일, NHS 번호, 진료 기록, 검사 결과, 그리고 경우에 따라 환자 계정과 연결된 금융 정보가 포함됩니다.
타임라인이 특히 우려되는 이유는 현재 통지받는 환자들이 최대 2년 동안 자신도 모르는 사이에 잠재적 악용에 노출되어 있었다는 점입니다. 도난당한 건강 기록은 신용카드 번호처럼 만료되지 않습니다. 여기에는 변경할 수 없는 개인 정보가 포함되어 있기 때문에 범죄 시장에서 지속적인 가치를 지닙니다.
의료 기록이 고가치 랜섬웨어 표적이 되는 이유
의료 기록은 범죄 포럼에서 금융 정보만 단독으로 제공되는 것보다 지속적으로 더 높은 가격에 거래됩니다. 하나의 의료 기록에는 보험 정보, 투약 이력, 비상 연락처 정보 등 사기꾼이 신원 도용을 저지르는 데 필요한 모든 것이 포함될 수 있습니다. 킬린과 같은 랜섬웨어 운영자에게 의료 기관은 이중의 인센티브를 제공합니다. 바로 임상 운영이 실시간 데이터에 의존하기 때문에 신속하게 지불하도록 압박하는 혼란과, 몸값을 지불하지 않을 경우 판매할 수 있는 높은 시장성의 데이터 세트입니다.
NHS는 그 규모가 엄청나고, 트러스트 전반에 걸쳐 시스템이 이질적이며, 제3자 공급업체가 종종 가장 취약한 연결 고리 역할을 하기 때문에 특히 매력적인 표적입니다. Synnovis 공격은 바로 그 패턴을 보여주었습니다. 공격자들은 병원을 직접 침해하는 대신, 여러 병원 네트워크에 깊이 통합된 공급업체를 손상시켰습니다.
소셜 엔지니어링 공격은 자연스럽게 이런 유형의 침해 사고에서 뒤따릅니다. 공격자가 검증된 환자 데이터를 확보하면, 다른 유명 사고에서 목격된 전술처럼 매우 설득력 있는 피싱 메시지나 보이스 피싱 전화를 만들 수 있습니다. ShinyHunters가 50만 건의 기록을 주장한 Cushman & Wakefield 비싱 공격 사례에서는, 도난당한 조직 데이터가 직원을 대상으로 한 사기 전화에 신뢰성을 더하는 데 사용되었습니다. NHS 환자들도 그들의 개인 건강 정보가 범죄자의 손에 들어가면 비슷한 위험에 직면합니다.
환자가 NHS 온라인 포털 이용 시 자신을 보호하는 방법
대부분의 환자에게 즉각적인 질문은 실용적인 것입니다. 이에 대해 내가 실제로 무엇을 할 수 있는가? 그 답은 침해 사고가 제공자 측에서 발생했더라도, 사용자 본인의 접속 습관이 중요하다는 점을 인식하는 데서 시작됩니다.
NHS 환자들은 NHS 앱이나 Patient Access와 같은 플랫폼을 통해 예약, 검사 결과 및 반복 처방을 점점 더 많이 관리하고 있습니다. 이러한 포털은 민감한 임상 데이터를 보유하고 있으며, 보안이 유지되지 않는 네트워크나 공유 네트워크를 통해 로그인하면 NHS 자체 인프라 내에 존재하는 위험 외에 추가적인 노출 지점이 생성됩니다.
첫째, 자신이 속한 트러스트로부터 침해 통지를 받았는지 확인하세요. 통지를 받았다면 이를 심각하게 받아들이고, 비정상적인 활동(예상치 못한 의료비 청구, 보험 문의 또는 본인이 시작하지 않은 신원 확인 요청 등)이 있는지 계정을 모니터링하세요.
둘째, 모든 의료 계정에 강력하고 고유한 비밀번호를 사용하고, 서비스가 지원하는 경우 2단계 인증을 활성화하세요. 한 곳에서 유출된 사용자 이름과 비밀번호를 사용하여 다른 곳의 계정에 접근하는 자격 증명 스터핑 공격(Credential stuffing)은 대규모 의료 데이터 도난 사건 이후 흔히 뒤따르는 수법입니다.
셋째, NHS를 사칭하여 개인 정보를 확인하도록 요청하는 원치 않은 연락은 의심하세요. 합법적인 NHS 연락은 전화나 이메일을 통해 비밀번호나 금융 정보를 요구하지 않습니다.
공용 Wi-Fi에서 의료 데이터를 위한 암호화 및 VPN 모범 사례
여행 중이거나 공용 Wi-Fi를 사용하는 동안 NHS 포털이나 기타 의료 계정에 정기적으로 접속한다면, 연결을 암호화하는 것은 한 가지 실질적인 위험을 줄이는 간단한 단계입니다. 커피숍, 도서관, 병원 및 교통 허브의 공용 네트워크는 보안이 유지되지 않으며, 트래픽이 가로채질 수 있습니다.
평판이 좋은 VPN을 사용하면 기기와 인터넷 사이에 암호화된 터널이 생성되어, 동일한 네트워크에 있는 누군가가 귀하의 로그인 자격 증명이나 세션 토큰을 캡처하는 것을 현저히 어렵게 만듭니다. 이는 NHS 자체 시스템 내부에서 발생하는 침해로부터 보호하지는 않지만, 기회주의적 절도의 한 경로를 막아줍니다.
VPN 사용 외에도, 기기의 운영 체제와 앱을 최신 상태로 유지하면 암호화가 적용되기도 전에 데이터를 가로채기 위해 악성코드가 악용하는 취약점들이 패치됩니다. 휴대폰이나 노트북에서 전체 디스크 암호화를 활성화하면, 기기를 분실하거나 도난당하더라도 캐시된 NHS 로그인 데이터를 즉시 읽을 수 없게 됩니다.
이것이 당신에게 의미하는 바
늘어나는 킬린 NHS 침해 피해 집계는 느리게 진행되는 공개 위기입니다. 트러스트들은 여전히 무엇이 도난당했는지 파악하고 있고, 수년 전에 영향을 받은 환자들은 이제서야 확인을 받고 있습니다. 그 간극은 도난당한 기록들이 피해자가 인지하지 못하는 사이에 유통될 수 있는 긴 시간적 여유를 만듭니다.
이 상황에서 여러분이 취할 수 있는 가장 중요한 점은 NHS 랜섬웨어 침해 환자 데이터 보호가 수동적이지 않다는 것입니다. 랜섬웨어 그룹이 병원 공급업체를 공격하는 것을 막을 수는 없습니다. 하지만 일단 데이터가 유출된 후, 공격자가 그 데이터로 할 수 있는 일은 줄일 수 있습니다.
먼저 자신이 어떤 NHS 및 의료 플랫폼에 계정을 가지고 있는지 점검하고, 각각 고유한 비밀번호와 2단계 인증이 설정되어 있는지 확인하며, 원치 않는 건강 관련 연락은 한층 강화된 회의적인 태도로 대하세요. 집이 아닌 곳에서 이러한 플랫폼에 연결할 때는 암호화된 연결을 사용하세요. 자신의 데이터 보안 습관을 정기적으로 점검하는 것은 대규모 의료 침해 사고가 드문 사건이 아닌 반복되는 현실인 환경에 대한 가장 직접적인 대응입니다.
