메드트로닉 383만명 정보유출…샤이니헌터스 해킹 확인

작성일

메드트로닉, 샤이니헌터스 공격으로 383만명 개인·의료정보 유출
4월 해킹 확인 후 통보 시작…제품·환자 안전엔 영향 없어

메드트로닉 383만명 정보유출…샤이니헌터스 해킹 확인 / AI 생성 일러스트(삽화)
메드트로닉 383만명 정보유출…샤이니헌터스 해킹 확인 / AI 생성 일러스트(삽화)

세계 최대 의료기기 제조업체 메드트로닉(Medtronic)이 해킹 그룹 샤이니헌터스(ShinyHunters)의 공격으로 383만 4294명의 개인정보와 의료정보가 유출됐다고 밝혔다. 메드트로닉은 지난 4월 기업용 IT 시스템에 대한 사이버 공격을 확인했으며, 이후 피해자들에게 유출 통보를 발송하기 시작했다. 유출된 정보에는 이름, 연락처, 생년월일, 사회보장번호, 건강 관련 정보가 포함된 것으로 나타났다. 샤이니헌터스는 900만 건 이상의 기록을 훔쳤다고 주장했지만 메드트로닉은 이 수치를 확인하지 않았다. 회사는 제품 안전성이나 병원 운영에는 영향이 없다고 강조했다.

4월 침입부터 통보까지, 석 달간의 시간표

메드트로닉은 4월 15일(현지시각) 기업 IT 시스템에서 의심스러운 활동을 처음 감지했다. 조사 결과 침해는 4월 13일부터 19일(현지시각) 사이에 발생한 것으로 파악됐다. 이후 4월 18일(현지시각) 샤이니헌터스는 다크웹 토르(Tor) 기반 유출 사이트에 메드트로닉을 등록하고 900만 건 이상의 기록을 훔쳤다고 주장했다. 개인정보와 내부 파일이 포함됐다는 설명이었다.

해커 조직은 4월 21일(현지시각)까지 몸값을 지불하지 않으면 데이터를 공개하겠다고 위협했다. 하지만 이후 해당 유출 게시물은 사라졌다. 메드트로닉은 4월 24일(현지시각) 침해 사실을 공개적으로 인정했고, 6월 말부터 개별 통보를 시작했다. 7월 초 유출 대상자 383만 4294명 전원에게 통보 절차를 진행 중이라고 밝혔다. 7월 1일(현지시각) 기준으로는 구체적인 기술적 침해 지표가 공개되지 않았고 조사는 계속되고 있다.

유출 정보에 사회보장번호·건강정보까지 포함 / AI 생성 이미지
유출 정보에 사회보장번호·건강정보까지 포함 / AI 생성 이미지

유출 정보에 사회보장번호·건강정보까지 포함

이번에 유출된 정보에는 이름, 연락처, 생년월일, 사회보장번호(SSN), 건강 관련 정보가 포함된 것으로 확인됐다. 메드트로닉은 개인정보 노출 여부를 계속 평가하고 있으며 피해가 확인된 사람들에게 신용 모니터링과 신원 도용 방지 서비스를 제공하겠다고 밝혔다.

샤이니헌터스는 애초 900만 건 이상의 기록을 훔쳤다고 주장했지만 메드트로닉은 이 수치를 공식 확인하지 않았다. 회사가 실제 통보를 진행 중인 대상자는 383만 4294명이다. 메드트로닉은 직원 9만 명, 150개국에서 사업을 운영하는 세계 최대 의료기기 제조업체로 매출 기준 업계 1위(335억 달러)를 기록하고 있다. 의료기기 외에도 다양한 헬스케어 기술과 치료법을 개발하는 회사다.

자격증명 탈취와 클라우드 공격, 전형적인 수법

보안 업체 레스카나(Rescana)의 분석에 따르면 이번 공격은 자격증명 탈취와 클라우드 서비스 악용 방식으로 이뤄진 것으로 추정된다. 샤이니헌터스는 피싱, OAuth 토큰 탈취, 오피스365(Office 365)나 아마존웹서비스(AWS) 같은 클라우드 서비스 취약점을 악용하는 것으로 알려진 조직이다. 다만 이번 사건의 정확한 최초 침입 경로는 메드트로닉과 외부 조사기관 모두 공개하지 않았다.

조사 결과 이번 공격에서 악성코드나 랜섬웨어가 배포된 흔적은 발견되지 않았다. 의료기기를 직접 겨냥한 침해 증거도 없는 것으로 나타났다. 공격은 기업 IT 환경에만 국한됐고 임상·제조·유통 시스템에는 영향을 미치지 않은 것으로 파악됐다.

"제품·환자 안전엔 영향 없다"…망 분리가 방패 역할

메드트로닉은 보도자료를 통해 "제품이나 환자 안전, 고객과의 연결, 제조·유통 운영, 재무보고 시스템, 환자 대응 능력에 미친 영향을 확인하지 못했다"고 밝혔다. 회사는 기업 IT 시스템을 지원하는 네트워크와 제품·제조·유통을 담당하는 네트워크가 애초에 분리돼 있다고 설명했다. 병원 고객의 네트워크 역시 메드트로닉의 IT 네트워크와는 별도로 운영되며 각 병원의 IT팀이 자체적으로 보안을 관리한다고 강조했다.

이 같은 망 분리 구조는 공격자가 기업 IT 시스템에서 운영기술(OT) 환경으로 옮겨가는 것을 막는 데 실제로 효과를 낸 것으로 분석된다. 메드트로닉은 침해를 봉쇄한 뒤 외부 사이버보안 전문가와 함께 사고 대응 체계를 가동했다고 밝혔다. 회사는 규제기관에 신고를 마쳤고 피해가 확인된 개인들에게는 신용 모니터링과 신원 도용 방지 서비스를 지원할 계획이다.