메디뱅크(Medibank) 데이터 유출 사건은 어떻게 발생했으며 어떻게 피할 수 있었을까?

1. 서론#

2022년 10월, 호주 최대 규모의 민간 건강 보험사 중 하나인 메디뱅크(Medibank)는 970만 명의 고객의 민감한 개인 정보와 의료 정보가 노출되는 데이터 유출 사건을 겪었습니다. 이 사건은 기본적인 사이버 보안 조치를 구현하지 않았을 때 발생하는 심각한 결과를 보여주었습니다. 유출이 어떻게 발생했고 어떤 보안 공백이 악용되었는지 이해하는 것은 향후 유사한 공격을 예방하는 데 필수적입니다.

따라서 이번 블로그 게시물에서는 다음 주요 질문을 다룰 것입니다:

• 메디뱅크 유출을 가능하게 한 취약점은 무엇이었는가?
• 메디뱅크 유출을 막을 수 있었던 대응책은 무엇인가?

2. 메디뱅크 데이터 유출 사건은 어떻게 발생했는가?#

메디뱅크 데이터 유출은 정교한 해킹 기법의 결과가 아니었습니다. 오히려 일련의 예방 가능한 보안 실수 때문에 발생했습니다. 이러한 실수들로 인해 사이버 범죄자들은 메디뱅크의 네트워크에 침투하고, 방대한 양의 민감한 정보를 훔친 후 몸값을 요구할 수 있었습니다.

2.1 도난당한 자격 증명 및 안전하지 않은 진입점#

공격은 메디뱅크와 계약을 맺은 제3자 IT 제공업체가 메디뱅크의 관리자급 로그인 세부 정보를 개인 기기에 저장하면서 시작되었습니다. 이 기기는 악성코드에 감염되어 있었고, 이를 통해 공격자들은 사용자 자격 증명을 탈취할 수 있었습니다. 당시 메디뱅크의 원격 액세스 시스템은 다중 인증을 요구하지 않았기 때문에, 공격자들은 도난당한 자격 증명을 사용해 회사의 네트워크에 로그인하여 인가된 사용자로 위장할 수 있었습니다.

2.2 데이터 도난 및 메디뱅크의 지연된 대응#

메디뱅크 시스템 내부에 침투한 범죄자들은 민감한 고객 정보를 검색하고 추출하는 스크립트를 설치했습니다. 이들은 해당 데이터를 압축한 뒤 내장된 백도어를 통해 네트워크 외부로 전송했습니다. 회사의 보안 도구가 의심스러운 활동을 감지하여 경고했지만, 이러한 경고는 필요한 만큼 긴급하게 처리되지 않았습니다. 메디뱅크의 보안 팀이 마침내 조치를 취해 공격자의 액세스를 차단했을 때는 이미 200GB의 개인 데이터가 유출된 후였습니다.

2.3 랜섬 요구 및 데이터 유출#

도난당한 정보에는 다음이 포함되었습니다:

• 이름
• 생년월일
• 여권 세부 정보
• 메디케어 번호

이 데이터를 손에 넣은 공격자들은 대중에게 이를 공개하지 않는 조건으로 1,000만 달러의 몸값을 요구했습니다. 메디뱅크는 지불이 더 많은 공격을 조장할 것이라 믿고 이를 거부했으며, 범죄자들은 이에 대한 대응으로 훔친 데이터의 일부를 다크웹에 유출하기 시작하여 회사에 추가적인 압박을 가했습니다.

3. 메디뱅크 보안의 주요 취약점#

메디뱅크 유출은 조직의 사이버 보안 방어 체계에서 몇 가지 중요한 약점을 보여주었습니다. 이러한 필수적인 보안 제어를 구현하지 않음으로써, 메디뱅크는 공격자가 권한이 부여된 액세스를 악용하고 내부 시스템을 탐색하며 민감한 데이터를 유출할 수 있는 기회를 제공했습니다. 다음은 이번 사건의 원인이 된 주요 취약점입니다:

3.1 자격 증명 보호 부족#

메디뱅크가 특권 자격 증명을 보호하지 못한 탓에, 시스템 내부에서 로그인을 사용하는 데 2FA/MFA가 적용되지 않았고, 공격자는 초기 보안 조치를 우회할 수 있었습니다.

3.2 최소 권한의 원칙(POLP) 부재#

다크웹에서 해커가 구매한 직원 계정은 일상 업무를 수행하는 데 필요한 것 이상의 권한을 가지고 있었으며, 이는 고권한 계정 손상의 위험을 높였습니다. 이를 통해 공격자는 중요한 데이터에 직접 액세스할 수 있었습니다.

3.3 불충분한 네트워크 세분화#

네트워크 세분화의 부족으로 인해 공격자들은 민감한 데이터를 더 쉽게 찾고 유출할 수 있었습니다. 격리된 구역이나 강력한 접근 제어가 없었기 때문에, 공격자는 큰 장애물 없이 데이터베이스에 액세스할 수 있었습니다.

3.4 백도어 탐지 지연#

결국 유출을 탐지하긴 했지만, 메디뱅크의 지연된 대응으로 인해 사이버 공격을 차단하기 전에 이미 공격자가 상당한 양의 데이터를 다운로드할 수 있었습니다.

4. 메디뱅크 유출은 어떻게 예방할 수 있었을까?#

메디뱅크 데이터 유출을 완화하거나 예방할 수 있었던 네 가지 전략은 다음과 같습니다:

4.1 사이버 위협 인지도 교육 실시#

직원들에게 피싱 시도와 자격 증명 도용을 식별하는 방법을 교육하면 초기 손상 위험을 줄일 수 있습니다. 피싱은 자격 증명 도용의 가장 일반적인 방법 중 하나이기 때문입니다.

4.2 최소 권한의 원칙(POLP) 시행#

POLP는 중요 시스템 및 데이터에 대한 액세스를 해당 권한이 필요한 사람에게만 제한합니다. POLP를 시행함으로써 메디뱅크는 공격자의 속도를 늦추거나 중요한 데이터베이스에 전혀 액세스하지 못하도록 막을 수 있었습니다.

4.3 다중 인증(MFA) 사용#

MFA는 비밀번호 외에 추가적인 검증 단계를 요구하여 보안 계층을 추가로 제공합니다. Microsoft에 따르면 MFA는 계정 손상 시도의 최대 98%를 예방할 수 있습니다. 위험 요인에 따라 요구 사항을 조정하는 적응형 MFA는 훨씬 더 강력한 보호 기능을 제공합니다.

4.4 강력한 네트워크 세분화 구현#

네트워크 세분화는 민감한 데이터를 안전한 구역으로 격리하여 공격자가 데이터를 찾고 액세스하기 더 어렵게 만듭니다. 추가적인 보안을 위해 점프 서버를 사용하면 이러한 영역으로의 연결 요청을 제어하여 무단 액세스 위험을 줄일 수 있습니다.

5. 결론#

메디뱅크 데이터 유출 사건은 오늘날의 디지털 환경에서 강력한 사이버 보안 조치가 얼마나 중요한지 강조합니다. 자격 증명 보호, MFA, POLP, 네트워크 세분화와 같은 기본적인 보안 관행을 구현함으로써 조직은 유사한 공격을 겪을 위험을 크게 줄일 수 있습니다.

이 사건은 민감한 고객 데이터를 보호하는 것이 단순히 법적 의무일 뿐만 아니라 디지털 시대에 신뢰를 유지하기 위한 핵심적인 요소임을 보여주는 뼈저린 교훈입니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문#

공격자들은 처음에 메디뱅크 네트워크에 어떻게 침입했나요?#

공격자들은 악성코드에 감염된 제3자 IT 제공업체의 개인 기기에서 메디뱅크 관리자 자격 증명을 획득했습니다. 당시 메디뱅크의 원격 액세스 시스템에는 다중 인증이 없었기 때문에, 도난당한 자격 증명만으로도 인가된 사용자로 로그인하기에 충분했습니다.

공격자가 네트워크 내부에 침투한 후 메디뱅크 유출이 그토록 치명적이었던 이유는 무엇인가요?#

두 가지 주요 약점이 피해를 증폭시켰습니다. 손상된 계정은 일상 업무에 필요한 것 이상의 과도한 권한을 가지고 있어 최소 권한의 원칙을 위반했으며, 불충분한 네트워크 세분화로 인해 공격자가 민감한 데이터베이스를 찾아 추출하는 데 큰 장벽 없이 자유롭게 이동할 수 있었습니다.

메디뱅크 데이터 유출을 가장 효과적으로 예방할 수 있었던 보안 제어는 무엇인가요?#

모든 원격 액세스 포인트에 MFA를 시행하는 것이 누락된 가장 중요한 제어 조치였습니다. Microsoft 데이터에 따르면 MFA는 계정 손상 시도를 최대 98%까지 차단합니다. 자격 증명을 도난당했더라도 MFA를 최소 권한의 원칙 및 강력한 네트워크 세분화와 결합했다면 공격을 중단시키거나 크게 제한할 수 있었을 것입니다.

메디뱅크와 같은 데이터 유출 이후 조직이 랜섬 지불을 피해야 하는 이유는 무엇인가요?#

메디뱅크는 지불이 회사와 다른 조직에 대한 추가 공격을 조장할 것이라고 믿었기 때문에 1,000만 달러의 몸값 지불을 구체적으로 거부했습니다. 거부로 인해 다크웹에 데이터가 유출되긴 했지만, 이러한 입장은 랜섬 지불이 데이터 삭제를 보장하지 않으며 반복적인 공격을 유도한다는 광범위한 보안 지침과 일치합니다.