요즘 최첨단 기술로 이뤄진 환경에서 자꾸만 발생하는 최첨단 사이버 보안 사고에 묻혀 잠시 잊힌 것이 하나 있으니 바로 서드파티 리스크다. 보안이 조금이라도 허술하다면 바로 파고드는 공격자들의 습성이 그대로 남아 있는 한 서드파티 리스크 역시 변하지 않는다.
[보안뉴스 문가용 기자] 의료 서비스 센터인 CMS(The Centers for Medicare & Medicaid Services)의 하청 업체 헬스케어관리솔루션즈(Healthcare Management Solutions, HMS)가 10월 8일 랜섬웨어 공격에 당하는 일이 있었다. 그리고 12월 14일 침해에 대한 대응 방법을 발표했는데, 사건의 영향 아래 있는 메디케어 수혜자들은 25만 명이 넘는 것으로 분석됐다. CMS 측은 랜섬웨어 사건과 조치에 대해 각 수혜자들에게 알리면서 새로운 메디케어 카드까지 같이 발급했다.
![[보안뉴스 / 12.27.] 미국 의료 기관의 하청업체에서 발생한 랜섬웨어 사건으로 25만 명 피해 입어](http://www.boannews.com/media/upFiles2/2022/12/50772262_4179.jpg)
[이미지 = utoimage]
HMS가 랜섬웨어에 당하긴 했지만 CMS의 시스템들에까지 공격자들이 침투한 건 아니었다. 그럼에도 CMS로부터 메디케어 혜택을 받는 사람들의 개인 식별 정보와 의료 정보는 공격자들의 손에 넘어갔다. 우리 조직이 직접 해킹을 당하지 않더라도, 우리 조직의 고객 정보들가 새나갈 수 있는 시대에 우리는 살고 있다. 이러한 사실을 모든 기관들과 기업들이 반드시 염두에 두어야 한다.
“CMS처럼 덩치가 큰 의료 조직들은 모든 기능들을 자체적으로 충당하고 해결하지 않습니다. 핵심 의료 서비스는 자기들 안에서 마련하겠지만 부차적인 서비스들은 외주로 해결하는 경우가 대부분이죠. 그러면서 민감한 정보와 고객 개인정보들까지도 그런 파트너사들과 공유하게 됩니다. 그래야 업무가 이뤄지니까요. 하지만 하청 업체들은 CMS와 같은 대형 조직들과 비교도 할 수 없는 작은 예산을 보유하고 있고, 그러다 보니 보안에도 적게 투자할 수밖에 없습니다. 공격자들 입장에서는 이런 하청 업체들이 공격하기 쉬운 대상이 되지요.” 서드파티 사이버 위험 관리 업체인 사이버지알엑스(CyberGRX)의 CEO 프레드 네이프(Fred Kneip)의 설명이다.
HMS의 경우 메디케어 자격 및 프리미엄 고객 관리를 하던 기업이었으므로 CMS로부터 고객 데이터를 공유 받아야만 했다. 그리고 랜섬웨어 공격자에게 당했고, 이러한 사실을 CMS에 공격이 발생한 바로 다음 날인 10월 9일에 알렸다. 그리고 10월 18일, 메디케어 혜택자들의 개인 식별 정보와 의료 기록들이 침해되었을 가능성이 높다는 사실을 알아냈다.
이 랜섬웨어 사건의 수사는 아직도 진행 중에 있다. 하지만 CMS 측에서는 “초기 수사를 통해 HMS가 CMS와의 약속을 지키지 않았음을 알게 됐다”고 발표했다. 하지만 구체적인 내용은 밝히지 않았다. “서드파티 업체들은 계약 상 침해 관련 정보와, 사건의 심각성을 구체적으로 알리도록 되어 있는 경우가 많습니다. CMS 측에서는 HMS가 이 부분을 소홀히 했다고 느낄 수 있습니다. 아니면 HMS가 ‘상황을 통제하고 있다’고 부풀려서 CMS에 알렸을 수도 있지요. 가능성은 여러 가지입니다.”
이런 식의 사건을 보안 업계에서는 ‘서드파티 침해 사건’이라고 부르는데, 이는 꽤나 오래되었으면서도 잘 고쳐지지 않는 문제로 남아 있다. 2022년 포네몬(Ponemon)이 조사한 바에 의하면 올해 서드파티를 통해 데이터 침해 사고를 겪은 기업이 59%나 된다고 할 정도다.
서드파티를 통해 발생하는 리스크를 줄이려면 어떻게 해야 할까? 가장 먼저는 ‘서드파티가 위험 요인이 될 수 있다’는 사실을 받아들여야 한다. 아직까지 많은 기업들의 사고방식에서 서드파티의 보안 상태는 ‘남의 일’ 혹은 ‘내가 참견하면 안 되는 일’이다. 이게 잘못된 생각은 아니지만 적어도 물어보고 확인하고 계약서에 반영할 수는 있는 사안이다. “서드파티와 정식으로 계약을 맺기 전에 보안과 관련된 내용들을 확인하는 기업은 36%밖에 되지 않습니다. 이 부분에서 의미 있는 개선이 이뤄지지 않는다면 서드파티를 통한 사건 사고는 계속해서 일어날 것입니다.”
데이터 보안 플랫폼인 컴포트에이지(comforte AG)의 보안 전문가 어판 샤다비(Erfan Shadabi)는 “서드파티의 사이버 보안 상황에 적극 참견해야 한다”는 입장이다. “보통 큰 기업들이 보다 작은 업체들에 하청을 주지요. 큰 기업은 자신들의 보안 전략 안에 서드파티들도 포함시켜야 합니다. 보안의 측면에서 각 파트너사들의 할 일이 있다는 것을 주지시키고, 보안 강화 노력에 힘을 주어야 합니다.”
또한 기업들은 내부의 민감한 정보가 어떤 식으로 관리되고 있는지를 다시 한 번 점검해야 한다. 특히 내부 직원들이 어떻게 접근하고 있으며, 서드파티들은 어떤 경로를 이용하는지를 파악하는 게 중요하다. “하루에 접근할 수 있는 데이터의 양을 개인별로나 서비스별로 지정해두는 게 안전합니다. 하루에 10개 기록만 다룰 수 있는 직원이나 서드파티가 갑자기 1만 개의 기록에 접근하려 한다면 경보가 울려야 정상이겠죠. 지금은 그렇지 않은 곳이 대부분입니다.” 보안 업체 사이럴(Cyral)의 CEO 마나브 미탈(Manav Mital)의 설명이다. “그런 방침을 모든 서드파티들에서 같이 적용하도록 권유하는 데에까지 나아가면 더 좋습니다.”
전문가들이 안타까운 마음으로 서드파티 리스크에 대해 이런 저런 조언을 하지만 사실 현장에서 서드파티의 보안까지 신경 쓴다는 건 대단히 어려운 일임에 틀림 없다. 샤다비는 “적어도 서드파티 업체들이 현재 사용하고 있는 보안 도구들과 적용시키고 있는 보안 정책들에 대해서는 확인하라”고 권고한다. 또한 “서드파티 보안 강화는 결국 갑을 관계가 아니라 협업의 관계에서 동등하게 이뤄야 하는 일”임을 강조한다.
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>