점점 고도화되는 사이버 위협의 실체
지난 몇 년간 기술 혁신은 의료 산업에 전례 없는 성장을 가져왔다. 하지만 기술과 의학의 융합은 예상치 못한 부작용도 야기하고 있다. 2026년 3월 20일 발표된 DIESEC의 사이버 보안 뉴스 보고서에 따르면, 이란 연계 해커 그룹 '한다라(Handala)'의 공격이 전 세계를 뒤흔들었을 때, 많은 이들에게 다시 한번 사이버 보안의 중요성이 강조되었다.
한다라가 공격한 대상은 바로 글로벌 의료기기 제조업체 스트라이커(Stryker)였다. 이 사건은 단지 한 기업만의 문제가 아니었다. 의료기기 20만 대 이상이 초기화되었고, 영국의 NHS를 포함한 수많은 의료 제공 시스템이 큰 혼란을 겪었다.
더욱 충격적인 것은 해커들이 50TB의 데이터를 탈취했다는 점이다. 이는 의료 기기와 관련된 사이버 위협이 얼마나 큰 리스크를 초래할 수 있는지 여실히 보여준다. 의료 산업은 기술 의존도가 매우 높은 분야 중 하나다.
현대 병원은 물리적 치료뿐 아니라 디지털화된 의료 정보와 장비를 통해 환자 치료를 진행한다.
광고
하지만 기술 의존도는 곧 취약함과 맞닿아 있다. 사이버-물리적 융합(cyber-physical convergence)의 발달은 환자의 데이터를 넘어 생명을 위협할 수 있는 상황을 가져왔다.
사이버-물리적 융합이란 디지털 시스템과 물리적 장비가 긴밀하게 연결되어 작동하는 환경을 의미한다. 예를 들어, 원격으로 제어되는 수술 로봇, 네트워크에 연결된 인공호흡기, 클라우드 기반 환자 모니터링 시스템 등이 이에 해당한다.
이러한 융합 환경에서는 디지털 공격이 단순히 데이터 유출에 그치지 않고, 실제 의료 장비의 오작동이나 중단으로 이어져 환자의 생명에 직접적인 위협을 가할 수 있다. 이번 스트라이커 사건은 단순히 해커 그룹이 경제적 이득만을 노린 것이 아니라 정치적 목적까지 갖고 있었다는 점에서 더욱 위험성을 부각한다.
DIESEC 보고서는 이 사례가 정치적 동기의 공격 범위(blast radius)를 얼마나 확장시켰는지 보여주는 대표적 사례라고 평가했다. 단일 공급업체의 의료 기기가 공격받았을 때, 그 여파가 정부 운영의 핵심 축인 의료 시스템에 얼마나 치명적인 악영향을 미칠 수 있는지를 구체적으로 입증한 것이다.
광고
특히 NHS와 같은 국가 의료 시스템이 특정 제조업체의 장비에 의존하고 있을 때, 그 취약점은 국가 전체의 의료 서비스 마비로 직결될 수 있다. 보고서는 "공급망 내에서 가장 취약한 지점의 회복탄력성이 전체의 강도를 결정한다"고 강조하며, 의료 공급망 보안의 중요성을 지적했다. 국제 형사 경찰 기구(INTERPOL, 인터폴)는 이러한 사이버 위협에 대응하기 위해 글로벌 공동 작전을 벌였다.
72개국이 참여한 이 공조 작전은 피싱, 멀웨어, 랜섬웨어 생태계와 연계된 4만5천 개 이상의 악성 IP 주소와 서버를 폐쇄하고, 94명을 체포하는 성과를 거두었다. 이 작전은 단순히 개별 사이버 범죄자를 검거하는 것을 넘어, 사이버 범죄가 산업화되어 조직적으로 운영되고 있다는 사실을 드러냈다.
인터폴은 이번 작전이 의료와 금융, 공공 부문을 위협하는 사이버 범죄 생태계를 반격하는 데 큰 기여를 했다고 평가했다.
광고
하지만 이렇게 빠르게 진화하는 사이버 공격 앞에서 국가 간 협력은 필수적이다. 특히 의료 인프라를 겨냥한 공격은 국경을 초월하는 특성을 가지므로, 전문가들은 글로벌 차원의 대처가 없이는 개별 국가나 기업이 이러한 공격을 방어하기란 거의 불가능하다고 보고 있다. 한다라의 공격 사례는 현대 사이버 위협의 진화된 양상을 보여준다.
DIESEC 보고서는 "공격자들이 더 이상 단순히 시스템에 '침입'하는 것이 아니라, 신뢰를 상속(trust inheritance)하고, 신원을 탈취하며, 현대 디지털 인프라가 안전하다고 가정하는 아키텍처적 맹점(architectural blind spots)을 악용하고 있다"고 분석했다. 신뢰 상속이란 공격자가 정당한 사용자의 인증 정보를 탈취한 후, 시스템이 그 사용자를 신뢰하는 것을 악용하여 추가적인 보안 검증 없이 더 깊은 시스템 접근을 획득하는 기법을 말한다. 이는 전통적인 '침입 탐지' 방식으로는 탐지하기 어려운 공격 방식이다.
특히 원격 협업 및 의료 관리에 필수적인 협업 플랫폼이 새로운 공격 표적이 되고 있다.
광고
DIESEC 보고서에 따르면, 최근 마이크로소프트 팀즈(Microsoft Teams)를 겨냥한 피싱 캠페인이 A0Backdoor 멀웨어를 통해 사용자 계정을 침해하고, 내부 협업 채널을 통한 접근 권한 상승을 가능하게 한 사례가 보고되었다. 이 공격은 팀즈의 내부 통신 신뢰 경계의 취약성을 드러냈으며, 협업 생태계가 이제 새로운 측면 이동 경로(lateral movement path)로 기능할 수 있음을 경고했다.
측면 이동이란 공격자가 초기 침투 지점에서 네트워크 내 다른 시스템으로 이동하며 공격 범위를 확대하는 기법이다. 협업 플랫폼은 본질적으로 여러 사용자와 시스템을 연결하도록 설계되어 있어, 한 계정이 침해되면 연결된 모든 사용자와 데이터가 위험에 노출될 수 있다.
국가 의료 시스템이 직면할 수 있는 리스크
국내 의료 시스템도 협업 플랫폼과 클라우드 기술을 점차 받아들이고 있는 만큼, 이와 같은 위협은 남의 일이 아니다. 한국은 이미 디지털 혁신 속에서 스마트 병원과 전자 진료 제공 시스템을 구축하며 의료 기술을 선도하는 국가 중 하나로 손꼽힌다.
광고
주요 대학병원들은 원격 진료 시스템, AI 기반 진단 보조 시스템, 클라우드 기반 전자의무기록(EMR) 시스템 등을 도입하고 있다. 하지만 이는 곧 사이버 공격자들에게도 큰 매력으로 다가온다.
이러한 금융, 의료 시스템에 대한 공격이 한국에 미칠 파장도 무시할 수 없다. 만약 한다라와 비슷한 공격이 한국 주요 병원을 타겟팅한다면, 의료 시스템 전반이 마비될 가능성도 배제할 수 없다.
특히 한국의 경우 의료 시스템의 디지털화 속도가 빠른 만큼, 사이버 보안 대비도 그에 상응하는 속도로 강화되어야 한다. 주요 병원들이 사용하는 의료기기 중 상당수가 해외 제조업체의 제품이며, 이들이 네트워크에 연결되어 있는 경우 스트라이커 사례와 유사한 공격에 노출될 수 있다. 또한 전자의무기록 시스템이나 영상의학 시스템(PACS) 등 핵심 의료 정보 시스템이 공격받을 경우, 환자 진료에 즉각적인 차질이 발생할 수 있다.
물론, 모든 예외적 상황을 방지할 수는 없다. 하지만 리스크를 줄이는 노력은 가능하다. 의료 공급망의 회복탄력성을 강화하는 것은 단기적으로 기업과 정부의 최우선 과제로 자리 잡아야 한다.
원천적으로 해커들을 막을 수 있는 보안 시스템은 아직 존재하지 않지만, 기업들은 데이터 암호화와 다중 인증(multi-factor authentication), AI 기반 예측 시스템 도입 등으로 최소한의 방어선을 구축할 수 있다. 특히 제로 트러스트(Zero Trust) 보안 모델의 도입이 중요하다. 제로 트러스트는 '신뢰하되 검증하라'는 전통적 접근 대신 '결코 신뢰하지 말고 항상 검증하라'는 원칙에 기반한다.
이는 내부 네트워크라 하더라도 모든 접근 시도를 검증하고, 최소 권한 원칙을 적용하여 공격 범위를 최소화하는 방식이다. 전문가들은 "의료 기기 제조업체와 기관 모두 사이버 위협 시나리오를 사전에 분석하고, 모의 훈련으로 데이터를 보호하는 연습이 필요하다"고 조언한다.
실제로 정기적인 침투 테스트(penetration testing)와 레드팀 훈련(red team exercise)을 통해 시스템의 취약점을 사전에 발견하고 보완하는 것이 중요하다. 또한 사고 대응 계획(incident response plan)을 수립하고 정기적으로 훈련함으로써, 실제 공격 발생 시 신속하게 대응하여 피해를 최소화할 수 있다. 이는 이번 한다라 사건에서 국제 의료 시스템이 보여준 취약점을 일부라도 보완하는 발판이 될 것이다.
또한, 한국 정부와 기업은 글로벌 협력 네트워크를 확대하고 이를 실질적인 기술 공유로 연결해야 한다. 의료 시스템을 겨냥한 사이버 공격은 기본적으로 국경을 초월하는 위협이기 때문이다.
인터폴의 72개국 공조 작전이 보여주듯, 사이버 범죄는 국제적 네트워크로 운영되며, 이에 대응하기 위해서는 국가 간 정보 공유와 공동 대응 체계가 필수적이다. 최근 국제적으로 논의되고 있는 '사이버 보건 안전 표준화' 프로젝트에 한국이 더 적극적으로 참여해야 하는 이유이기도 하다. 국가 간 협력을 강화하고 기술 기반의 공유를 통해 만약의 사태를 예방할 수 있다면, 의료 시스템의 회복력은 한층 높아질 것이다.
해결책과 글로벌 협력의 중요성
공급망 보안 측면에서도 개선이 필요하다. 스트라이커 사건이 보여주듯, 단일 공급업체에 대한 과도한 의존은 시스템 전체의 취약성으로 이어진다. 의료 기관들은 중요 장비와 시스템에 대해 다중 공급업체 전략을 고려하고, 각 공급업체의 사이버 보안 수준을 정기적으로 평가해야 한다.
또한 의료기기 구매 시 사이버 보안 기능을 필수 요구사항으로 포함시키고, 제조업체가 보안 업데이트를 지속적으로 제공하는지 확인해야 한다. 규제 차원에서도 강화가 필요하다.
현재 한국의 의료기기 인증 체계는 주로 안전성과 유효성에 초점을 맞추고 있으나, 사이버 보안 요구사항도 강화할 필요가 있다. 미국 FDA가 의료기기 사이버 보안 가이드라인을 지속적으로 업데이트하고 있는 것처럼, 한국도 의료기기의 전 생애주기에 걸친 사이버 보안 관리 체계를 구축해야 한다.
이는 설계 단계부터 보안을 고려하는 'Security by Design' 원칙의 적용을 의미한다. 결국, 의료 인프라를 핵심 대상으로 하는 사이버 공격은 단순히 특정 기업만의 문제가 아니다.
이번 한다라 사건은 기술과 의료가 교차하는 지점에서 발생할 수 있는 위험성의 단면을 보여줬다. DIESEC 보고서가 지적하듯, 공격자들은 이제 전통적인 침입 방식을 넘어 신뢰 체계를 악용하고 아키텍처적 맹점을 공략하는 고도화된 기법을 사용하고 있다. 기술력이 발달할수록 그 이면에 숨겨진 충분한 보안 대책 없이 디지털 혁신만을 추구하는 것은 더 큰 문제를 초래할 수 있다.
한국 역시 이와 같은 교훈을 바탕으로, 어떤 위기에도 흔들리지 않는 의료 시스템을 구축하기 위한 치밀한 준비가 필요하다. 이는 기술적 방어 수단의 강화뿐만 아니라, 조직 문화의 변화, 인력 교육, 국제 협력, 규제 개선 등 다층적 접근을 요구한다. 의료 시스템의 디지털 전환은 되돌릴 수 없는 흐름이지만, 그 과정에서 보안이 뒷받침되지 않는다면 혁신은 오히려 취약성이 될 수 있다.
당신이 진료를 받고 있는 병원, 당신이 일하고 있는 의료 기관은 과연 안전한가? 이제 이 질문에 답할 시간이다.
김도현 기자
광고
[참고자료]
vertexaisearch.cloud.google.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}
