POS 악성 코드에 의한 정보 유출 사례에서 재고 데이터 보호 대책

방대한 양의 개인 정보를 보유하는 의료기관은 사이버 범죄자의 모습의 표적 이 될 수 있습니다. 대부분의 의료 기관은 신용 카드 정보와 진료 기록, 건강 보험증, 개인 번호, 주민등록 번호 등 다양한 정보를 보유하고 있습니다. 미국에서 최대 규모의 비영리 의료기관 인 'Banner Health'는 2016 년 8 월 성공적인 사이버 공격을 가해졌습니다 . 이 사례에서 사이버 범죄자들이 이전보다 더욱 의료기관이 갖는 정보를 노리고있는 것을 알 수 있습니다. 이 Banner Health 정보 유출 사례에서 307 만 명의 개인 정보 및 재무 데이터가 절취되어 있습니다.

2016 년 7 월 7 일 Banner Health의 음식료품 용 "판매 시점 관리 (Point of sale, POS) '시스템의 네트워크에 침입자가 침입하고 있었던 것이 여러 보도되었습니다 . 사이버 범죄자들은이 공격에 성명 · 신용 카드 번호 · 인증 코드 등 고객의 신용 카드 정보를 절취했습니다. Banner Health는이 정보 유출을 조사한 결과 세부 사항을 조사한 결과, 환자의 개인 정보 및 의료 서비스 제공자의 정보를 관리하는 시스템에 침입되어 있었던 것이 발각되었습니다. 유출 된 정보에는 환자와 의사의 이름과 주소, 의료 보험 정보, 진료 기록, 사회 보장 번호 등이 포함되었을 수 있습니다.

신용 카드 정보와 개인 정보는 다른 시스템에서 관리되고 있었음에도 불구하고 어느 정보도 절취 된 점에서 이번 사례는 의료 업계의 우려가되었습니다.

■ 유사한 과거 사례로 추정 원인

이러한 정보 유출 사례는 하나의 악성 프로그램이 아니라 여러 악성 프로그램에 의해 발생 될 수 있습니다. 트렌드 마이크로는 2015 년에 광범위하게 실행 된 「Black Atlas 작전 '을 일정 기간 추적했을 때 이번 사례와의 유사성을 확인하고 있습니다. 당사는 「Black Atlas 작전 '의 POS 악성 코드가 "Gorynych」나 「Diamond Fox"라는 봇넷에 추가 된 기능임을 확인하고 있습니다. 이러한 봇넷은 정보 수집 기능을 제공했습니다. 그리고 사이버 범죄자들이 이러한 봇넷의 옵션 기능인 POS 모듈을 활성화 할 수 있습니다. 또한 POS 모듈 이외에도, 키로거 기능 등의 모듈을 탑재하고있었습니다.

"Black Atlas 작전 '은 다방면에 걸친 업계의 중소기업이 표적이되었습니다 만, 그 중에는 의료기관도 포함되어있었습니다. 사이버 범죄자들은​​ 十徳 칼과 같은 다른 기능을 가진 악성 프로그램이 세트로 된 도구를 사용 목적에 따라 이용했습니다. 먼저 특정 도구를 이용하여 정보를 수집 한 다음 다른 도구를 이용하여 기업의 시스템에 더 깊이 침투한다는 같은 몇 가지 단계를 거쳐 계획이 실행되었습니다. 사이버 범죄자들은​​ 시스템에 대한 액세스가 가능하게되면 POS 악성 코드를 설치하고 금융 데이터 등의 중요한 정보를 수집했습니다.

"Black Atlas 작전 '에서 확인 된 POS에서 네트워크상의 다른 시스템까지 감염 경로는 Banner Health 정보 유출 사례에 비유 할 수 있습니다.

그림 1 : "Black Atlas 작전 '의 감염 경로

다른 하나는 네트워크 구성에 원인이 있다고 생각됩니다. POS 데이터를 저장하는 시스템과 의사와 환자의 개인 정보를 저장하는 시스템이 모든 장비가 동일하다는 플랫 네트워크에 포함되어있을 가능성이 있습니다. 이러한 네트워크 구성은 관리 및 유지가 용이하지만, 보안 측면에서 그다지 강력하지 않습니다. 공격자가 이러한 플랫 네트워크의 시스템 중 하나에 액세스 할 수 있으면, 나머지 시스템에 쉽게 접근 할 수 있습니다.

이번 정보 유출 사례는 기업 조직에서 정보 유출을 방지하기 위해 필요로하는 효과적인 보안 대책을 재고하기위한주의 환기입니다. 다음은 권장되는 작업입니다.

• 원격 액세스 서비스를 위해 방화벽 또는 "액세스 제어 목록 (Access Control List, ACL)"을 도입
• POS 시스템 및 기타 인터넷 접속 기기의 인증 정보를 초기 설정에서 변경하거나 타사에 의해 변경되었는지 확인
• 네트워크에서 옆 전개하는 공격에 대비해 네트워크를 분단하는
• 대규모 조직에서는 불필요한 정보를 제거하고 보관되는 정보 파악
• 필요한 관리가 잘 실시되고 있는지, 또한 계속되고 있는지 확인
• 이벤트 로그를 모니터링하고 저장
• 위협 상황을 파악하고 대응 전략의 우선 순위를 이해하는

신용 카드 결제의 담당자는 신용 카드 업계의 보안 표준 인 ' Payment Card Industry Data Security Standard (PCI DSS) "의 요구 사항을 준수해야합니다. 특히 네트워크 세그먼트는 결제의 중요한뿐만 아니라 보호 의료 정보 "Protected Health Information (PHI)」의 보안 대책을 위해서도 중요합니다. 의료 업계의 표준은 미국의 건강 보험 양도 및 책임에 관한 법률 인 ' Health Insurance Portability and Accountability Act of 1996 (HIPAA) "에 윤곽선이 규정되어 있지만, 그 중에서도 일반적으로 PHI의 관리 방법으로 PHI를 다른 데이터와는 별도로 관리를 실시하고있는 조직은 가장 효과적으로 관리를 유지하고 있다고 기재되어 있습니다.

사이버 범죄자들이 더 성공적인 전략으로 공격 해 왔다고해도​​ 의료 산업은 항상 한발 앞선 대책을 강구해야합니다. 조직에서 사용하는 서버와 네트워크, 그리고 다양한 사용자 기기를 감시 · 관리하고 보호 할 수있는 다층적인 보안 조치를 채택하십시오.

참고 기사 :

• " Data Protection Solutions Spring from Exposed PoS Threat "