서울대학교병원 개인정보 유출

침해 사고 정보
일자	2021/06/05 ~ 2021/06/11
침해 정보	- 환자정보: 병원등록번호, 성명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사결과 - 직원정보: 사번, 성명, 주민번호, 거주지연락처, 연락처, 이메일, 근무부서정보, 직급연차정보, 임용퇴직정보, 휴복직정보, 자격면허정보 등
특징	파일 업로드 취약점을 이용한 웹쉘 업로드로
피해크기	- 약 83만명의 개인정보 > 환자 81만여명 > 전·현직 직원 1만7000여명
침해 사고 분석
경위	① 21.05 ~ 21.06 국내·외에 소재한 서버 7대를 장악해 공격 기반 마련 > 국내 4대·해외 3대 ② 웹쉘 업로드 > 내부망에서 사용하기 위한 계정 생성 > ID/PW : default/다치지 말라 ③ 공유폴더와 연결된 서울대병원 내부망에 침입 ④ 병리검사 서버에서 개인정보 탈취 > 81만명의 진료정보를 탈취 ⑤ 내부망 전자사보DB에서 개인정보 탈취 > 1만 7000여명의 직원정보 탈취 > 이중 2000명의 정보는 실제 유출된 것으로 확인
원인	① 파일 업로드가 가능한 병원 내부망의 보안 취약점을 활용 > 웹서버에 명령을 실행해 관리자 권한을 획득할 수 있는 웹쉘이 필터링 되지 않고 업로드 됨
조치	① 21.07.06 서울대병원 침해 사실 최초 인지 및 공지 게시 - 교육부/보건복지부/개인정보보호위원회/사이버수사대 등에 신고후 조사를 진행 - 서울대병원의 후속조치 > 해당 IP 및 접속 경로 차단 > 서비스 분리 > 취약점 점검 및 보완조치 > 모니터링 강화 > 사용자 PC 비밀번호 변경 > 개인정보보호위원회 등 관련 유관기관 신고 > 병원에 등록된 휴대전화번호로 개인정보 유출 사실 개별 연락 수행 ② 23.05.10 경찰청 발표 - 피해기관에 침입 및 정보 유출 수법과 재발 방지를 위한 보안 권고사항을 설명 - 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공 > 국가 배후의 조직적 사이버 공격에 대해 치안 역량을 총동원하여 적극적으로 대응 > 관계기관 정보공유 및 협업을 통해 추가적인 피해를 방지 > 사이버 안보를 굳건히 지키기 위해 노력할 계획 - 경찰 > 개인정보보호위원회 의결 결과에 따라 병원 개인정보 보호책임자 입건 여부 검토 예정 ③ 23.05.10 개인정보보호위원회 - 전체회의를 통해 서울대학교병원에 과징금 7,475만원 부과 의결 > 서울대병원이 이미 널리 알려진 해킹공격(웹쉘)을 탐지하고, 방어할 관리적·기술적 조치가 미비했다고 판단 > 공공기관 최초로 과징금을 부과
기타	① 기존 북한발로 확인된 다수 사건과 비교 결과 해당 사건 또한 북한발(김수키, Kimsuky)로 확인 - 기존 사례와 동일한 사항 > 공격 근원지 IP, IP 주소 세탁 기법: 과거 북한 해킹 조직이 사용했던 IP 포함 > 인터넷 사이트 가입정보, 시스템 침입·관리 수법: 해킹용 서버의 사용자 이름·이메일이 과거 북한 해킹조직이 사용한 정보 > 북한어휘 사용: 내부망에 생성한 계정의 비밀번호가 한글 자판으로 '다치지 말라' ② 이승운 경찰청 사이버테러수사대장 - 해킹 조직이 병리검사가 저장됐던 서버를 해킹 - 고위 인사의 개인정보를 빼내기 위한 목적으로 추정 ③ 남석 개인정보위 조사조정국장 > 공공기관의 경우 다량의 개인정보를 처리 > 작은 위반행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요 ④ 의료 분야 외 다른 분야 또한 주요 정보통신망에 대한 침입 시도가 지속될 것으로 예상 - 최신 보안 업데이트 적용 - 불법적인 접속시도에 대한 접근통제 - 개인정보를 포함한 중요 전산 자료 암호화 등 보안 시스템과 보안정책 강화 권고