라자루스 그룹, 미국 의료기관 대상 메두사 랜섬웨어 공격 실행

북한 APT, 미국 의료기관에 메두사 랜섬웨어 공격 가해

보안 연구진들은 최근 미국 의료기관을 대상으로 한 랜섬웨어 공격의 배후로 **라자루스 그룹(Lazarus Group)**을 지목했다. 이 그룹은 북한 정부의 지원을 받는 고도화된 위협 행위자로, **메두사 랜섬웨어(Medusa ransomware)**를 활용한 금전 갈취 캠페인을 전개하며 사이버 범죄 활동의 심각한 확산을 보여주고 있다.

공격의 주요 사항

• 위협 행위자: 라자루스 그룹(APT38, Hidden Cobra)
• 공격 대상: 미국 의료기관
• 악성코드: 메두사 랜섬웨어 (MedusaLocker와 혼동 금지)
• 동기: 금전적 이득을 통한 갈취
• 공격 확인: 다수의 사이버 보안 업체에 의해 확인됨

기술적 분석

고도 지속 위협(APT) 역량을 보유한 라자루스 그룹은 과거 금융 절도, 스파이 활동, 파괴적 공격을 주로 수행해왔다. 그러나 메두사 랜섬웨어를 활용한 직접적인 갈취 전술로의 전환은 북한 정권의 수익 창출이라는 더 넓은 목표와 일치하는 행보로 평가된다.

2021년에 처음 식별된 메두사 랜섬웨어는 피해자 데이터를 암호화하고 암호화폐로 금전을 요구하는 RaaS(Ransomware-as-a-Service) 변종이다. 다른 랜섬웨어 패밀리만큼 널리 배포되지는 않았지만, 국가 지원 행위자가 사용함으로써 이중 갈취(double extortion) 가능성에 대한 우려가 커지고 있다. 이중 갈취란 공격자가 데이터를 암호화하기 전에 유출하여 피해자에게 추가 압박을 가하는 기법이다.

보안 연구진은 라자루스 그룹이 피싱 캠페인이나 공개 시스템의 패치되지 않은 취약점(CVE-2023-XXXX 등)을 악용해 초기 접근 권한을 확보했을 가능성이 높다고 분석했다. 네트워크 내부로 침투한 후에는 Living-off-the-Land (LotL) 기법을 사용해 PowerShell이나 PsExec와 같은 합법적 도구를 활용해 내부 이동(lateral movement)을 수행하고 랜섬웨어를 배포한다.

의료기관에 미치는 영향

미국 의료기관을 대상으로 한 이번 공격은 다음과 같은 이유로 특히 우려스럽다:

• 중요 인프라 위험: 의료 서비스 중단으로 인해 인명 피해가 발생할 수 있다.
• 데이터 민감성: 환자 기록과 의료 데이터는 다크 웹에서 높은 가치를 지닌다.
• 규제 리스크: 데이터 유출로 인해 HIPAA 위반 및 막대한 벌금이 부과될 수 있다.

방어 권고 사항

의료 분야의 보안 팀은 다음의 대응 조치를 우선적으로 시행해야 한다:

1. 패치 관리: 공개 시스템의 알려진 취약점(예: CVE-2023-XXXX)에 대한 보안 업데이트를 신속히 적용한다.
2. 피싱 인식 교육: 직원이 의심스러운 이메일을 인식하고 신고할 수 있도록 교육한다.
3. 엔드포인트 탐지: EDR/XDR 솔루션을 도입해 LotL 기법을 탐지한다.
4. 네트워크 세분화: 중요 시스템을 격리해 내부 이동을 제한한다.
5. 백업 전략: 랜섬웨어 공격으로부터 복구할 수 있도록 오프라인 암호화 백업을 유지한다.

결론

메두사 랜섬웨어 공격을 라자루스 그룹에 귀속시킨 이번 사건은 국가 지원 사이버 범죄자의 위협이 커지고 있음을 보여준다. 의료기관은 심층 방어(defense-in-depth) 전략을 채택해 금전적 동기와 국가 지원 행위자로부터의 위협을 효과적으로 완화해야 한다.

자세한 내용은 BleepingComputer의 원본 보고서를 참고하십시오.