시스템 설계 부검: 레거시 포털 1개가 $1.6B 비용을 초래한 이유 (Change Healthcare 분석)

Source: Dev.to

미국 의료 시스템의 디지털 신경망이 2024년 2월에 붕괴되었습니다.
미국 의료 청구의 50 %를 처리하는 결제 프로세서인 Change Healthcare가 랜섬웨어 공격을 받아 16억 달러의 직접 손실을 입었습니다.
이번 침해는 제로데이 익스플로잇에 의해 발생한 것이 아니라, 시스템 설계와 아이덴티티 관리의 근본적인 실패에서 비롯되었습니다.

실패의 아키텍처

1. MFA가 없는 레거시 Citrix 포털

• 공격자는 **다중 인증(Multi‑Factor Authentication)**이 전혀 적용되지 않은 오래된 Citrix 원격 접근 포털을 통해 진입했습니다.
• 이 포털은 현대화 팀에 의해 잊혀졌지만 여전히 인터넷에 노출된 “좀비” 서비스가 되었습니다.

2. 불충분한 네트워크 격리(벌크헤드)

• Change Healthcare는 최근 UnitedHealth Group(UHG)에 인수되었습니다.
• 통합 과정에서 네트워크가 충분한 격리 경계 없이 병합되어, 침해된 노드를 격리할 수 없게 되었습니다.

3. 제로 트러스트 원칙 부재

• Citrix 로그인 우회를 성공한 뒤, 공격자는 인프라 전역으로 쉽게 횡방향 이동(lateral movement)했습니다.
• 분리되어야 할 핵심 데이터베이스가 암호화된 상태였으며, 그 결과 UHG가 전체 플랫폼의 연결을 차단해야 하는 전국적인 서비스 중단 사태가 발생했습니다.

---

복잡성은 보안의 적입니다. 이번 사건은 고급 암호화 기술의 실패가 아니라 인벤토리 관리와 **결함 도메인 격리(fault‑domain isolation)**의 실패였습니다.