영국 의료 서비스 제공업체, 메두사 랜섬웨어 공격에 몸살
영국의 민간 의료 및 사회 서비스 제공업체인 HCRG Care Group(HCRG 케어 그룹)이 메두사(Medusa) 랜섬웨어 조직의 공격을 받은 것으로 보입니다. 메두사는 막대한 몸값을 지불하지 않으면 훔친 내부 기록을 유출하겠다고 협박하고 있어요.
HCRG 케어 그룹은 어떤 곳일까요?
HCRG 케어 그룹은 이전에는 버진 케어(Virgin Care)로 알려졌으며, 현재는 Twenty20 Capital 소유입니다. 이들은 NHS(영국 국민 보건 서비스)와 지방 당국을 위해 아동 및 가족 건강, 사회 서비스를 운영하고 있으며, 직원 수는 5,000명에 달한다고 해요. 2023년 3월까지의 연간 매출액은 2억 5천만 파운드(약 3억 1,500만 달러)에 육박합니다.
메두사의 협박, 2.3TB의 데이터가 위험에 처하다
메두사 조직은 다크웹 사이트에 업데이트를 통해 HCRG로부터 2.275TB의 데이터를 훔쳤다고 주장했습니다. 이들은 200만 달러(약 160만 파운드)에 해당 정보를 구매자에게 판매하거나, 같은 금액을 받으면 해당 정보 사본을 삭제하거나, 2월 27일까지 아무도 돈을 지불하지 않으면 모든 정보를 온라인에 유출할 것이라고 협박하고 있습니다.
게다가 메두사는 협상을 계속하기 위해 하루에 1만 달러(약 8천 파운드)를 지불하면 유출을 지연시켜 주겠다고 제안했습니다. 이미 여권 및 운전면허증 스캔본, 직원 근무표, 출생 증명서, 신원 조회 데이터 등 훔친 정보로 추정되는 35페이지 분량의 샘플을 유출한 상태입니다.
HCRG 케어 그룹의 대응
HCRG 대변인은 “현재 IT 보안 사고를 조사 중이며, 최근 책임을 주장하는 그룹의 다크웹 게시물을 확인했다”고 밝혔습니다. 또한 “즉각적인 봉쇄 조치를 시행한 이후 의심스러운 활동은 관찰되지 않았으며, 외부 포렌식 전문가와 협력하여 사건을 조사하고 있다”고 덧붙였습니다. 현재 서비스는 계속 운영되고 있으며 환자들은 안전하게 진료를 받을 수 있다고 합니다.
데이터 암호화는 피한 듯
이번 사건에서 메두사는 암호화를 건너뛰고 데이터를 훔쳐 몸값을 요구하는 방식을 택한 것으로 보입니다. 이는 작년 텍사스에서 발생한 University Medical Center(러벅 소재) 랜섬웨어 공격으로 인해 운영이 심각하게 제한되었던 것과는 대조적입니다.
메두사 랜섬웨어 조직은?
메두사는 2022년 말에 등장하여 주로 윈도우 환경을 표적으로 삼고 있습니다. Palo Alto Networks(팔로 알토 네트웍스)의 Unit 42에 따르면, 주로 기술, 교육, 제조, 의료, 소매의 5개 부문을 공격하며, 미국 조직이 주요 피해 대상이고 영국 기업이 그 뒤를 잇고 있다고 합니다.
잇따른 영국 기업 공격
HCRG 사건은 올해 메두사가 영국 조직을 대상으로 한 두 번째 주요 공격입니다. 지난달에는 Gateshead Council(게이츠헤드 의회)을 유사한 방식으로 공격했다고 주장했습니다. 의회는 60만 달러의 몸값 지불을 거부했고, 메두사는 훔친 데이터를 온라인에 공개했습니다.
HCRG 역시 몸값 지불을 거부할 가능성이 높습니다. 설령 의료 그룹이 돈을 지불하더라도 메두사가 데이터를 판매하지 않으리라는 보장은 없습니다. Cybereason(사이버리즌)에 따르면, 작년에 몸값을 지불한 조직의 78%가 재차 공격을 받았고, 63%는 두 번째 공격에서 더 큰 금액을 요구받았습니다.