병원 컴퓨터에 악성코드 설치한 혐의로 사이버보안 CEO 체포

내부자 공격 위협이 증가하고 있음을 보여주는 충격적인 신뢰 위반 사건으로, 사이버 보안 회사 CEO가 병원 컴퓨터에 악성코드를 설치한 혐의로 체포되었습니다. 오클라호마에 본사를 둔 베리타코(Veritaco)의 대표 제프리 보위(Jeffrey Bowie)는 2025년 4월 14일 체포되어 오클라호마 컴퓨터 범죄법에 따라 두 건의 중범죄 혐의를 받고 있습니다.

이 사건은 의료계와 사이버 보안 산업 전반에 파장을 일으켰고, 사이버 위협을 만들어내는 것이 아니라, 이를 방어해야 하는 사람들의 취약성에 대한 중대한 의문을 제기했습니다.

우려스러운 위반 혐의

법원 문서에 따르면, 이 공격은 2024년 8월 6일 오클라호마시티의 주요 의료 시설인 세인트앤서니 병원에서 발생했습니다. 보안 영상에는 보위가 병원 복도를 돌아다니며 여러 사무실에 접근하려다 두 대의 방치된 컴퓨터를 발견하는 장면이 포착된 것으로 알려졌습니다. 그는 이후 20분마다 은밀하게 스크린샷을 찍어 외부 IP 주소로 전송하는 악성코드를 설치한 것으로 알려졌습니다.

병원 직원의 심문에 보위는 수술 중인 가족을 방문 중이어서 컴퓨터를 사용해야 한다고 주장했습니다. 그러나 세인트앤서니 병원 IT 보안팀의 포렌식 조사 결과, 무단 악성 소프트웨어가 설치된 사실이 곧 드러났습니다.

세인트 앤서니 병원을 운영하는 의료 시스템인 SSM Health는 공식 발표를 통해 "2024년 8월 6일, 허가받지 않은 개인이 악성코드를 설치하려는 목적으로 병원 컴퓨터에 접근하는 것이 확인되었습니다."라고 밝혔습니다. "현재 시행 중인 예방 조치 덕분에 이 문제는 즉시 해결되었으며, 환자 정보는 접근되지 않았습니다."

피고인에 대한 배경

제프리 보위는 2023년 8월 베리타코를 설립하기 전, 하이 포인트 네트웍스(High Point Networks)에서 수석 사이버 보안 엔지니어로 근무하며 사이버 보안 분야에서 경력을 쌓았고, 여러 보안 관련 직책을 맡았습니다. 링크드인에 따르면, 베리타코는 사이버 보안, 디지털 포렌식, 그리고 사설 정보 수집 분야를 전문으로 하는 소규모 회사였지만, 직원 수가 몇 명에 불과했습니다.

이번 침해는 보위가 자신의 배경을 고려했을 때 병원 내부에 악성 코드를 심는 것이 어떤 영향을 미치는지 충분히 알고 있었기 때문에 더욱 우려스럽습니다. 병원은 생명이 컴퓨터 시스템의 무결성과 안정성에 달려 있는 환경입니다.

잠재적 처벌 및 진행 중인 조사

오클라호마 주법에 따르면, 컴퓨터 범죄법(Computer Crime Act) 위반은 5,000달러에서 10만 달러까지의 벌금, 최대 10년의 징역, 또는 병과 등 심각한 처벌을 초래할 수 있습니다. 현재 FBI와 지역 법 집행 기관 모두 이 사건에 대한 수사를 계속 진행하고 있습니다.

병원 직원의 신속한 조치 덕분에 환자 기록이 손상되지는 않았지만, 이 사건은 예상치 못한 출처에서 내부 위협이 발생할 수 있다는 사실을 엄중히 일깨워줍니다. 심지어 우리를 보호해야 할 사람에게서도 위협이 발생할 수 있습니다.

의료 부문을 위한 교훈

의료 기관은 민감한 데이터를 처리하기 때문에 이미사이버 공격의 주요 표적이 되고 있습니다. 이번 사건은 내부 시스템에 접근하는 모든 사람(공급업체나 전문가로 추정되는 사람 포함)에 대한 강력한 물리적 보안, 엄격한 접근 통제, 지속적인 모니터링, 그리고 엄격한 검증 절차의 중요성을 다시 한번 강조합니다.

조직은 "신뢰하되, 검증하라"는 사고방식을 유지하여 고도로 자격을 갖춘 개인조차도 중요 인프라에 대한 검증되지 않은 접근 권한을 부여받지 않도록 해야 합니다. 오늘날의 환경에서 사이버 보안은 단순히 외부 공격자로부터 방어하는 데 그치지 않습니다. 내부에서 발생하는 위험 또한 그만큼 실질적이며, 때로는 그보다 더 파괴적일 수 있습니다.