싱가포르 최대 규모 데이터 유출 원인은?

지난 7월 발생한 싱가포르 최대 규모의 데이터 유출 사건의 원인이 부실한 보안 관행 때문인 것으로 나타났다.

미국 지디넷 등 외신은 지난 7월 발생한 싱헬스(SingHealth) 데이터 유출 사건을 조사하기 위해 설립된 조사위원회(COI)가 주도하는 청문회 첫날에 보안 침해 원인은 패치 미적용과 약한 관리 암호사용, 대응 지연 때문인 것으로 드러났다고 21일(현지시간) 보도했다.

싱헬스는 4개의 공공 병원과, 5개의 국립 전문센터, 9개의 종합 병원 등으로 구성된 싱가포르 최대 의료기관이다. 지난 7월 리센룽 총리를 포함한 싱헬스에 등록돼 있는 환자 150만 명의 의료기록 등이 유출됐다. 이는 싱가포르 570만 인구 중 4분의 1이 넘는 규모다. (☞관련기사)

COI는 "보안 침해에 대한 초기 대응이 단편적이고 부적절했다"고 발표했다. 또 이번 사건으로 싱헬스 시설을 방문한 16만 명의 환자들의 의료데이터가 손상됐다고 밝혔다.

COI에 따르면 이번 사이버 공격은 싱헬스의 바이러스 백신 소프트웨어 및 보안 방어를 피한 맞춤형 악성코드를 포함해, APT공격의 특징을 가진 것으로 밝혀졌다.

싱가포르 사이버보안 기구(CSA)는 "공격자들이 공개적으로 이용 가능한 해킹 툴을 이용해 최종 사용자 워크스테이션을 침범했으며, 이는 패치가 업데이트되지 않은 마이크로소프트 아웃룩 버전을 실행중이었기 때문에 가능했다"라고 조사 결과를 밝혔다.

이로 인해 싱헬스 네트워크에 해커가 접근할 수 있었으며, 초기 침입 후 악성코드가 배포, 다른 워크스테이션에 감염될 수 있었다.

약한 관리 암호를 사용한 것도 원인이었다. 로컬 관리자 계정 중 하나가 "P@ssw0rd"를 암호로 사용해, 쉽게 암호 해독이 가능했다. 공격자는 지난 5월부터 6월까지 일부 관리자 계정을 사용해 싱가포르 종합 병원에서 호스팅되는 시트릭스(Citrix) 서버에 원격으로 로그인한 것으로 나타났다.

실제로 공격자는 의료 서비스 제공 업체인 선라이즈클리니컬매니저(SCM)를 실행하는 데이터베이스에 대한 접근 시도를 반복, 실패했던 것으로 밝혀졌다. 이를 통해 해커가 대량 쿼리를 실행했음에도 불구하고, 시스템에서 이런 동작 패턴이나 권한이 없는 사용을 식별할 수 있는 제어 장치가 없다는 네트워크 약점도 드러났다.

SCM은 지역 보건 의료 기관의 IT대행사인 건강정보시스템(IHIS)에서 관리한다.

결국, SCM 소프트웨어 코딩 취약점으로 인해 공격자는 시트릭스 서버에서 SCM 데이터베이스 자격 증명을 쉽게 검색할 수 있었고, 이로 인해 데이터베이스에 로그인할 수 있었던 것으로 CSA는 추정했다.

COI에 따르면 IHIS는 2014년에 이미 이런 코딩 취약점에 대해 알고 있었지만, 문제 해결을 위한 조치를 취하지 않은 것으로 밝혀졌다.

직원들의 즉각적인 대응도 미흡했다.

IHIS 직원은 지난 6월 11일 데이터베이스에 대한 무단 접근 시도를 알게돼 암호를 변경하고 서버를 종료함으로써 문제를 해결하려 했다. 하지만 COI는 대응이 단편적이고 부적절했다고 평가했다.

또 7월 4일 해커의 접근을 중단한 결과, IHIS 직원들은 7월 9일 밤까지 싱헬스의 CIO를 포함한 고위 경영진에게 이 사실을 알리지 않았다.

관련기사

궈민럭(Kwek Mean Luck) 송무차관은 "사이버 공격을 막기 위해 더 많은 노력을 기울여야 한다"라며 "COI 조사의 정신은 잘못을 찾아내는 것이 아닌 탐구와 학습에 초점을 둬 미래의 사이버 공격으로부터 조직 방어를 강화하기 위한 영역을 파악하는 것"이라고 말했다.

이번 공개 청문회는 보건부, 싱헬스, IHIS 등 여러 증인들과 6일간 계속된다. COI는 연말까지 싱가포르 이스와란 통상산업부 장관에게 보고서와 권고안을 제출할 계획이다.