Introduction

Newhorizonsmedical.org에 대한 Devman2 공격

2025년 12월 1일, 미국 의료 센터 newhorizonsmedical.org는 랜섬웨어 서비스형(RaaS) 모델을 사용하는 랜섬웨어 그룹인 devman2가 조직한 사이버 공격의 피해를 입었습니다. XC SIGNAL 수준으로 분류된 이 침해 사고는 민감한 환자 기록과 의료 데이터를 관리하는 의료 시설을 노출시켰습니다. 이 사건은 의료 분야, 특히 의료 인프라가 악의적인 공격자들의 주요 표적이 되는 미국에서 진화하는 사이버 범죄 위협에 대한 의료 분야의 지속적인 취약성을 보여줍니다.

Analyse détaillée

이 공격은 미국 의료 시설을 노리는 랜섬웨어 그룹의 압력이 증가하는 가운데 발생했습니다. 50명에서 100명 사이의 직원을 고용하는 중견 기업인 newhorizonsmedical.org의 침해는 사이버 범죄자들이 대형 병원만을 노리는 것이 아니라는 것을 보여줍니다. 암시장에서 높은 가치를 지닌 의료 데이터는 환자 개인 정보 보호와 의료 서비스의 연속성 모두에 중요한 문제를 나타냅니다.

Devman2 유출 플랫폼에 이 피해자가 등장한 것은 해당 조직의 이중 강탈 전술이 심화되고 있음을 시사합니다. 개인 건강 정보(PHI) 보호에 대한 엄격한 의무를 지닌 의료 기관은 특히 대중에게 공개될 위험에 취약합니다. 이러한 상황은 중견 의료 기관의 사이버 보안 대비 태세에 대한 근본적인 의문을 제기합니다.

Devman2 공격자

DevMan 2.0은 2025년 7월에 처음 발견된 DevMan 랜섬웨어의 정교한 진화를 보여줍니다. 이 현대화된 버전은 시스템 암호화와 유출된 데이터의 대중 공개 위협을 결합하는 강력한 이중 강탈 전술을 통합하여 이전 버전의 역량을 강화합니다. 이 그룹은 서비스형 랜섬웨어(RaaS) 모델에 따라 운영되며, 관계사에게 체계적인 유출 및 강탈 인프라를 제공합니다.

이 악의적인 공격자는 제조, 소매, 전자, 그리고 이제는 의료 분야를 포함한 다양한 경제 분야의 다양한 조직을 표적으로 삼습니다. 지리적으로 devman2의 활동은 주로 일본, 독일, 그리고 이번 사건에서 드러난 바와 같이 미국에 집중되어 있습니다. 이러한 지리적 확장은 지역적 타겟팅보다는 기회주의적 공격 전략을 시사합니다.

이 조직의 초기 공격에서 몸값 요구는 약 100만 달러에서 1,000만 달러까지 상당히 다양하게 나타났습니다. 이처럼 광범위한 범위는 피해자의 규모와 지불 능력에 따라 금전적 요구가 조정되었음을 시사합니다. 랜섬웨어 서비스형(RaaS) 모델을 통해 기술 제휴사는 핵심 운영자가 관리하는 협상 및 유출 인프라를 활용하면서 랜섬웨어를 배포할 수 있습니다.

devman2의 유출 플랫폼은 강압적 전략의 핵심 요소입니다. 훔친 데이터 샘플을 점진적으로 공개함으로써, 이 조직은 침해된 조직에 지속적인 심리적 압박을 가합니다. 이러한 체계적인 접근 방식은 몸값 지불 가능성을 극대화하는 동시에 잠재적인 미래 피해자에게 경고 역할을 합니다. 이렇게 구축된 기술 인프라는 랜섬웨어 공격의 전문화 추세가 점차 심화되고 있음을 보여줍니다.

피해자: Newhorizonsmedical.org

New Horizons Medical은 2015년에 설립된 미국의 의료 센터로, 50명에서 100명의 의료 전문가를 고용하고 있습니다. 이 시설은 의료 분야에서 운영되며, 환자 기록, 보호되는 건강 데이터, 의료비 청구 시스템, 그리고 중요한 개인 정보를 매일 관리합니다. 중간 규모의 규모라는 점은 특히 취약한 범주에 속합니다. 귀중한 민감한 데이터를 보관할 수 있을 만큼 규모가 크지만, 대형 병원 네트워크에 비해 사이버 보안 리소스가 제한적인 경우가 많습니다.

newhorizonsmedical.org를 통해 접속할 수 있는 이 기관은 지역 사회에 필수적인 의료 서비스를 제공합니다. 이러한 규모의 센터는 미국 의료 시스템의 중추를 이루며, 수천 명의 환자에게 지역 의료 서비스와 치료의 연속성을 보장합니다. 이러한 기관의 보안 침해는 환자의 신뢰에 직접적인 영향을 미치고, 서비스 지역 내 의료 서비스 접근성을 심각하게 저해할 수 있습니다.

미국 내 위치 때문에 newhorizonsmedical.org는 HIPAA(건강보험 양도 및 책임법)와 같은 엄격한 규정의 관할을 받습니다. 이 법은 의료 정보 보호에 대한 엄격한 의무를 부과합니다. 의료 데이터 유출은 해당 기관을 상당한 규제 처벌, 잠재적인 민사 소송, 그리고 심각한 평판 손상에 노출시킵니다. 이러한 사고로 인한 간접 비용은 종종 요구된 몸값보다 훨씬 높습니다.

이 정도 규모의 의료 기관은 일반적으로 완전한 병력, 검사 결과, 처방전, 보험 데이터, 그리고 자세한 개인 연락처 정보를 포함한 정보를 관리합니다. 이처럼 민감한 정보가 집중되어 있기 때문에 사이버 범죄자들의 주요 표적이 됩니다. 지하 포럼에서 의료 기록의 시장 가치는 단순한 재무 데이터의 시장 가치를 넘어섰으며, 이는 랜섬웨어 집단이 의료 분야에 지속적으로 관심을 갖는 이유입니다.

공격에 대한 기술적 분석

newhorizonsmedical.org에 영향을 미친 사고는 2025년 12월 1일에 발견되었으며, DataInTheDark 방법론에 따르면 XC SIGNAL로 분류되었습니다. 이 분류는 피해자가 랜섬웨어 그룹의 통신 채널에 나타나는 것을 기반으로 공격을 조기에 탐지했음을 나타냅니다. SIGNAL 수준은 일반적으로 도난당한 데이터가 공개되기 전에 발생하며, 이는 사고 대응 및 위험 완화에 중요한 계기를 제공합니다.

사고 초기 단계에서는 손상된 정보의 정확한 내용이 공개적으로 공개되지 않았습니다. 그러나 newhorizonsmedical.org의 활동 특성을 고려할 때, 잠재적으로 노출될 수 있는 데이터에는 전자 의료 기록(EMR), 환자 식별 정보, 치료 내역, 검사 결과, 청구 데이터, 개인 연락처 정보가 포함될 가능성이 높습니다. 이러한 범주의 정보는 의료 기관을 겨냥한 공격의 주요 표적입니다.

devman2의 전형적인 공격 방식은 초기 침투 단계로, 패치되지 않은 취약점이나 표적 피싱 캠페인을 통해 이루어지는 경우가 많습니다. 접근이 확인되면, devman2의 계열사는 내부 정찰을 수행하여 중요 시스템과 민감한 데이터 저장소를 파악합니다. 유출은 일반적으로 랜섬웨어 배포에 앞서 발생하며, 백업을 통해 신속한 복구가 가능하더라도 악용 가능한 데이터를 확보할 수 있습니다.

침해의 정확한 시점은 아직 기록되지 않았지만, 최신 랜섬웨어 공격은 초기 침입과 최종 배포 사이에 일반적으로 몇 주가 소요됩니다. 이러한 지연 시간 덕분에 공격자는 강력한 지속성을 확보하고 네트워크 환경을 매핑하며 유출되는 데이터의 양을 극대화할 수 있습니다. 중단 없이 운영되는 의료 시설의 경우, 모니터링 시간이 제한적이기 때문에 이러한 은밀한 공격이 용이합니다.

이러한 의료 데이터 노출과 관련된 위험은 다양하고 심각합니다. 환자의 경우, 건강 정보 노출은 보험 차별, 의료 신원 도용, 그리고 개인 정보 갈취로 이어질 수 있습니다. 해당 기관의 경우, HIPAA 규제 위반, 집단 소송, 신뢰 상실, 그리고 장기적인 운영 중단 등의 결과를 초래할 수 있습니다. 이러한 침해 이후 완전한 복구에는 일반적으로 수개월에 걸친 공동 노력이 필요합니다.

Newhorizonsmedical.org 공격 추적을 위한 블록체인 및 추적성

Conclusion

newhorizonsmedical.org 관련 사고는 DataInTheDark에서 개발한 XC-Audit 프로토콜을 통해 인증되었습니다. 이 혁신적인 접근 방식은 폴리곤 블록체인 기술을 사용하여 각 데이터 침해 발견에 대한 변경 불가능하고 검증 가능한 기록을 생성합니다. 각 기록은 고유한 암호화 해시를 받고, 타임스탬프가 찍히고 퍼블릭 블록체인에 고정되어 문서화된 정보의 진위성과 부인 방지를 보장합니다.