NHS 소프트웨어 공급업체, 랜섬웨어 공격으로 3백만 파운드 벌금 부과

데이터 보안의 중요성이 다시 한번 강조되는 사건이 터졌습니다. 영국 정보위원회(ICO)는 NHS(영국 국가보건서비스)의 IT 서비스를 담당하는 Advanced Computer Software Group에 3백만 파운드(약 50억 원)의 벌금을 부과했습니다.

이유는? 바로 2022년 랜섬웨어 공격 때문입니다. 이번 사건은 79,404명의 개인 정보가 유출되어 심각한 보안상의 위협을 초래한 것으로 밝혀졌습니다.

📌 랜섬웨어 공격이 어떻게 이루어졌나?

일반적으로 사이버 공격은 복잡한 해킹 기법이나 고도의 기술을 동원해야 가능할 거라 생각하기 쉽습니다. 하지만 놀랍게도 이번 사고의 원인은 멀티팩터 인증(MFA)의 부재였습니다.

해커들은 보안이 허술한 고객 계정을 이용해 시스템에 접근한 후, 환자들의 전화번호, 의료 기록, 심지어 가정 방문 간호를 받는 890명의 집 출입 방법까지 해킹해 갔습니다.

이후 NHS 111(응급 의료 안내 서비스)과 환자 체크인 시스템 등이 마비되며 의료 서비스 제공에 치명적인 영향을 미쳤습니다.

🚨 정보위원회(ICO)의 조사 결과

조사 결과, Advanced는 대량의 민감한 개인 데이터를 처리하는 회사로서 충분한 보안 조치를 갖추지 못한 것이 문제로 지적되었습니다.

특히 다음과 같은 실수가 결정적인 원인이 되었습니다.

✔️ 멀티팩터 인증 적용 미흡
✔️ 보안 조치의 불완전성
✔️ 고객 계정 보호 부족

영국 정보위원회(ICO)는 이 같은 보안 실패가 있었음에도 불구하고 적절한 예방 조치를 하지 않았다며 강하게 비판했습니다.

💡 "이 사건이 주는 교훈"

ICO의 정보위원장 존 에드워즈(John Edwards)는 이번 사건을 통해 기업들이 보안 강화를 절대 소홀히 해서는 안 된다고 강조했습니다.

"기업들은 더 이상 보안 문제를 간과해서는 안 됩니다. 시스템의 일부만 보안 조치를 갖추는 것은 충분하지 않습니다. 해커들은 가장 약한 고리를 타고 들어오는 법입니다."

그는 이번 벌금 부과가 모든 기업들에게 강력한 경고가 되길 바라며,
"이러한 보안 실수는 더 이상 용납되지 않는다"고 덧붙였습니다.

🔍 Advanced, 벌금 경감된 이유

사실 ICO는 원래 6백만 파운드(약 100억 원)의 벌금을 부과할 예정이었습니다. 하지만 Advanced가 사건 이후 즉각 경찰, 사이버 보안 전문가, NHS 관계자들과 협력하여 대응한 점을 고려해 벌금이 절반인 3백만 파운드로 줄었습니다.

즉, 보안 사고 발생 후 어떻게 대응하느냐에 따라 기업이 받는 처벌과 평판에 큰 영향을 미친다는 것을 보여주는 대목입니다.

✅ 기업들이 반드시 따라야 할 보안 원칙

이번 사건은 단순한 해프닝이 아니라, 모든 조직이 반드시 명심해야 할 '보안 경고'라고 할 수 있습니다.

그렇다면 기업들은 어떤 보안 조치를 반드시 취해야 할까요?

1. 멀티팩터 인증(MFA) 활성화

   • 해커가 쉽게 계정에 접근하지 못하도록 추가적인 로그인 보안을 설정해야 합니다.

2. 정기적인 보안 점검 수행

   • 모든 시스템이 최신 상태인지, 보안 취약점은 없는지 철저히 확인해야 합니다.

3. 데이터 암호화

   • 고객 및 기업의 중요한 정보는 반드시 암호화하여 보호해야 합니다.

4. 최신 보안 패치 적용

   • 운영 체제 및 소프트웨어의 최신 보안 업데이트를 즉각 적용해야 합니다.

5. 직원 보안 교육 필수

   • 대부분의 사이버 공격은 내부 실수에서 시작됩니다. 직원들에게 보안 의식을 철저히 교육하는 것이 중요합니다.

🎯 결론

이번 사건은 대규모 기관뿐만 아니라, 개인 사업자부터 대기업까지 모든 조직이 사이버 보안의 중요성을 다시 되새겨야 한다는 교훈을 줍니다.

해커들은 보안이 허술한 틈을 노리기 때문에, 지금 이 순간에도 적극적인 보안 조치는 필수입니다.

🔥 혹시 여러분의 기업은 보안 점검을 제대로 하고 있나요?
지금 바로 점검해 보고, 더 철저한 보안 조치를 마련해 보세요. 🚀