의료기기 분야의 거대 기업인 스트라이커(Stryker)가 최근 발생한 사이버 공격으로 전 세계 네트워크가 마비되는 사태를 맞았습니다. 이란과 연계된 것으로 알려진 해킹 그룹 핸달라 핵(Handala Hack)이 이번 공격의 배후로 지목되면서, 기업의 내부 시스템 관리 방식이 도마 위에 올랐습니다. 단순히 방화벽을 세우는 것만으로는 부족한 시대, 과연 어떤 경로로 시스템이 뚫린 것인지 짚어보겠습니다.
스트라이커 해킹, 무엇이 문제였나
이번 사태에서 가장 먼저 확인된 이상 징후는 일부 직원들의 컴퓨터와 스마트폰이 원격으로 초기화된 것이었습니다. 일반적인 랜섬웨어 공격과는 다른 양상을 보였기에 보안 업계의 주목을 받았습니다. 현재 확인된 정보에 따르면, 스트라이커의 내부 마이크로소프트 관리 환경이 타겟이 되었으며, 시스템 복구 시점조차 가늠하기 어려운 상황입니다.
어떻게 내부 시스템이 순식간에 마비되었을까
보안 전문가들은 이번 공격이 단순한 악성코드 유포가 아닌 관리 도구의 악용일 가능성을 제기합니다. 특히 마이크로소프트의 인튠(InTune) 인터페이스가 공격자들에 의해 장악되었을 것으로 보입니다. 관리자가 기기를 제어하기 위해 사용하는 도구가 역으로 회사의 인프라를 무너뜨리는 무기가 된 셈입니다.
- 침입 경로 확보: 암시장이나 브로커를 통해 최초 접근 권한 획득
- 관리 권한 탈취: 인튠 인터페이스를 통해 삭제 명령어 일괄 실행
- 데이터 파괴: 별도의 랜섬웨어 없이 시스템 자체를 초기화
의료 기기 가동에는 문제가 없는 이유
다행스러운 점은 환자의 생명과 직결되는 의료 장비들은 무사하다는 것입니다. 스트라이커 측은 심장 제세동기나 수술용 로봇인 마코(Mako) 등 주요 장비들이 정상 작동 중이라고 밝혔습니다. 폐쇄적인 환경에서 운영되거나 별도의 관리 체계를 갖춘 장비들은 이번 네트워크 공격의 직접적인 사정권에서 벗어나 있었던 것으로 판단됩니다.
왜 이 시점에 공격이 발생했을까
전문가들은 이번 공격의 동기를 정치적 보복으로 해석합니다. 미국과 이스라엘이 이란에 대해 가한 공습 이후, 사이버 영역에서 보복을 감행한 것입니다. 단순히 기술적인 취약점을 뚫는 것을 넘어, 서방 국가의 주요 기업 시스템을 무력화함으로써 심리적 우위를 점하려는 목적이 다분합니다.
핸달라 핵은 어떤 조직인가
핸달라 핵은 2023년부터 활동해온 그룹으로, 이란 정보보안 부처와 연계된 것으로 알려져 있습니다. 이들은 과거에도 중동 내 조직들을 상대로 데이터를 파괴하는 와이퍼(Wiper) 공격을 자행해왔습니다. 대규모 기업을 타겟으로 삼아 자신들의 영향력을 과시하고, 서방 사회에 실질적인 피해를 입히는 것이 이들의 주된 전략입니다.
기업 보안 강화를 위해 필요한 전략
이번 스트라이커 사태는 권한 관리의 중요성을 다시 한번 상기시킵니다. 인튠과 같은 관리 도구는 매우 강력한 힘을 가진 만큼, 다중 인증(MFA) 도입과 비정상적인 활동에 대한 실시간 모니터링이 필수적입니다. 또한 언제든 시스템이 마비될 수 있다는 가정하에 오프라인 백업과 비상 복구 체계를 갖추는 것이 기업 생존의 핵심입니다.
출처: https://arstechnica.com/security/2026/03/whats-known-about-wiper-attack-on-stryker-a-major-supplier-of-lifesaving-devices/
보안 사태를 통해 본 시사점
이번 공격은 기업의 디지털 인프라가 얼마나 취약한지 극명하게 보여주었습니다. 아무리 정교한 보안 시스템을 갖추었더라도, 가장 기본적인 접근 권한 관리에서 틈이 생기면 순식간에 무너질 수 있습니다. 이번 사건이 보안 체계 전반을 재점검하는 계기가 되어야 할 것입니다.
이어서 보면 좋은 글
#사이버보안 #스트라이커해킹 #데이터보안 #네트워크보안 #인튠 #기업위기관리 #핸달라핵 #보안솔루션 #IT트렌드 #리스크관리