대규모 사이버 공격에 맞서 100곳의 병원이 펜과 종이를 들게 된 사연

병원들로부터 연이어 다급한 전화가 걸려왔다. 범죄자들이 컴퓨터 네트워크를 감염시키는 대규모 해킹을 감행해 수많은 생명을 위협하고 있다는 것이었다.

부쿠레슈티에 위치한 국가사이버보안센터(DNSC)는 해커들이 널리 쓰이는 의료 소프트웨어를 통해 루마니아 전역으로 퍼져나가는 모습을 속수무책으로 지켜볼 수밖에 없었다.

사이버 총괄 책임자인 단 침피안(Dan Cimpean)은 어려운 결정을 내려야만 했지만 그것이 그들이 가진 유일한 선택지였다.

100곳이 넘는 병원에 명령이 떨어졌다. "지금 당장 인터넷 연결을 끊으십시오."

2024년 2월 루마니아 병원들을 덮친 이 사이버 공격은 전 세계 의료 시스템을 겨냥한 최악의 사건 중 하나로 꼽힌다. 그리고 이러한 사고는 점점 더 빈번해지고 있다.

미 연방수사국(FBI)은 최근 의료 분야가 국가 핵심 기반 시설 중 가장 표적이 되기 쉬운 곳이라고 밝혔다.

루마니아 내 100개 병원의 인터넷을 차단함으로써 해커들의 진격을 멈춰 세웠고, 공격의 피해 규모가 어느 정도인지 파악할 시간을 벌 수 있었다.

하지만 이는 인터넷에 연결된 기기, 이메일, 웹 브라우저를 전혀 쓸 수 없게 됨을 의미했다.

IT팀이 급히 수습에 나서고 국가 사이버 대응 센터가 해커의 침입 경로와 차단 방법을 찾는 동안, 의료진은 펜과 종이로 전환하여 환자를 보호하기 위한 임시 방책을 마련해야 했다.

2024년 2월 10일부터 4일간 보여준 이들의 대처와 의사, 간호사들의 헌신은 널리 찬사를 받았다.

이들이 어떻게 대응하고 대처했는지는 대규모 병원 해킹 대응책을 고민하는 전 세계 재난 기획가들에게 중요한 시험 사례가 됐다.

부쿠레슈티에서 북동쪽으로 120km(75마일) 떨어진 부저우 병원에서 근무 중이던 외과 의사 오아나 고이데스쿠는 공격자들이 부쿠레슈티 기반의 소프트웨어 업체인 RSC를 해킹해 널리 사용되는 '히포크라테스'라는 의료 시스템 깊숙이 침투했다는 경보를 접했다.

그는 "IT 기록은 단순한 환자 명단이 아니기 때문에 매우 불쾌한 경험이었다"며 "환자마다 진단 검사, 영상 의학, 약품 및 의료 소모품을 요청하는데 그 모든 것이 사라졌다"고 했다.

히포크라테스는 의사, 간호사, 외과의들이 입원부터 급료 정산, 약국 물류, 검사 결과에 이르는 모든 것을 관리하기 위해 사용하는 시스템이다.

해커들은 조용히 이 시스템을 사용하는 전국 병원들에 '백마이데이터'라는 랜섬웨어를 감염시키기 시작했다. 파일들은 알아볼 수 없는 형태로 뒤죽박죽 섞였고 비트코인으로 몸값이 요구되었다.

부쿠레슈티 북서쪽에 위치한 피테슈티 어린이 병원 직원들은 공격이 시작된 다음 날인 일요일 아침, 시스템 오류를 가장 먼저 알아차렸다.

월요일 새벽이 되자 다른 많은 병원들도 히포크라테스 시스템이 다운됐다고 보고했다.

병원들이 오프라인 상태가 되자, 사이버 전문가들은 히포크라테스 제작사와 긴밀히 협력해 감염된 시스템의 수를 파악하고 해커들을 몰아냈다.

병원 의료진은 상황이 정상화될 때까지 환자를 보호하기 위한 임시 방책을 마련하며 대응했다.

부쿠레슈티에 있는 카롤 다빌라 병원의 블라드 파이크는 "시스템이 금방 복구되지 않을 것을 보고, 모든 환자를 등록할 수 있는 오프라인 방식을 개발했다"고 말했다.

또한 "진료에 차질이 없도록 검사실에 종이로 결과지를 달라고 요청했으며 엑셀 및 기타 오프라인 도구를 사용했다"고 밝혔다.

일부 의사들은 아날로그 방식으로의 회귀가 비교적 최근에 이루어진 루마니아의 디지털 시스템 전환 덕분에 오히려 수월했다고 전했다.

사이버 수사관들은 밤새워 작업한 끝에 26개의 병원이 백마이데이터에 감염된 사실을 확인했다.

다음 날 감염되지 않은 병원들은 보안이 강화된 상태로 다시 온라인에 연결됐다.

DNSC는 이번 작전이 성공한 요인 중 하나로 언론을 활용해 병원 및 대중과 소통한 방식을 꼽았다.

대중에게는 꼭 필요한 경우가 아니면 병원 방문을 자제하라는 메시지가 전달됐다.

그러나 대기실은 여전히 사람들로 가득 찼고, 고이데스쿠 박사는 일부 답답해하는 환자들이 의료진에게 화를 풀기도 했다고 전했다.

그는 "'당신 어머니 일이라면 어떻게 하겠느냐'는 질문을 받기도 했다. 그들이 화를 내는 것은 당연했지만, 우리는 우리 잘못이 아니라고 설명하려 애썼다"고 말했다.

또 다른 핵심 메시지는 병원 측이 해커에게 연락하거나 몸값을 지불해서는 안 된다는 것이었다.

공격자들은 비트코인으로 16만 유로(약 13만 8000파운드, 18만 3000달러)를 요구했으나, 대가를 지불하지 않기로 국가적 차원에서 결정이 내려졌다.

아직 오프라인 상태인 병원들에서는 IT 팀들이 백업에서 시스템을 복구하기 위해 분투했다.

대부분은 비교적 최근 데이터 사본을 보유하고 있었는데, 이것이 핵심 교훈이었다. 정기적인 백업을 통해 기관들은 더 빨리 회복할 수 있다.

5일 이내에 대부분의 병원이 다시 온라인에 연결되어 정상에 가까운 상태로 운영됐고 환자의 사망이나 심각한 피해는 보고되지 않았다.

운영 중단 기간 동안 종이에 기록된 모든 새로운 정보를 입력하는 데는 몇 주가 더 걸릴 예정이며, 일부 데이터는 영영 유실됐다.

경찰은 이번 공격의 배후에 대한 수사 상황에 대해 입장을 밝히지 않고 있다.

하지만 지난해 '백마이데이터'와 연관된 랜섬웨어 조직은 국제 공조 작전을 통해 웹사이트가 폐쇄된 바 있다.

서구 법집행 기관과 협력하지 않는 러시아 당국에 의해 러시아인 4명이 러시아 외 지역에서 체포됐다.

침피안은 이번 공격이 "어디에서든 일어날 수 있었던 일"이라며 "기술이 많아지고 디지털화될수록 위험은 더 커진다"고 덧붙였다.

작년에 영국의 국민보건서비스(NHS)는 런던의 약 12개 의료 센터에 영향을 미친 혈액 검사 업체 해킹 사건이 환자의 사망에 영향을 미쳤음을 확인했다. 이는 사이버 공격과 공식적으로 연관된 첫 번째 사망 사례였다.

비슷한 시기, 미국에서는 체인지 헬스케어가 해킹을 당해 광범위한 혼란을 초래했다. 이 회사는 해커들에게 2200만 달러(약 1600만 파운드)의 몸값을 지불했다.

해커들은 또한 그해 말 어센션이라는 또 다른 미국 의료 서비스 제공업체를 공격해 혼란을 야기했다.

부쿠레슈티에 본사를 둔 사이버 보안 업체 비트디펜더의 알리나 버즈거는 병원에 대한 공격이 돈을 위해 혼란을 일으키려 하는 범죄자들에게 매력적이라고 말한다.

그는 "병원들은 중요한 서비스를 처리하기 때문에 범죄자들은 더 많은 혼란을 일으킬수록 몸값을 받아낼 가능성이 더 높다고 생각한다"고 전했다.

2026년 6월 23일 BBC 월드 서비스는 루마니아, 몰도바 및 유럽 전역의 청중에게 신뢰할 수 있는 저널리즘을 제공하기 위해 루마니아어 서비스인 'BBC 뉴스 로마니아(BBC News România)'를 런칭했다. BBC 뉴스 로마니아는 웹사이트, 페이스북, 인스타그램을 통해 이용할 수 있다.