공격 경보: nova이(가) Atenção Primária à Saúde Brazil을(를) 표적으로 삼음 - BR

Introduction

랜섬웨어 그룹 Nova는 수백만 시민의 의료 데이터를 관리하는 주요 의료 인프라인 Atenção Primária à Saúde Brazil을 표적으로 삼아 브라질 공중 보건 시스템을 심각하게 침해했다고 주장했습니다. 2025년 12월 4일에 발견된 이 사이버 공격은 브라질의 의료 정보 기밀 유지와 1차 진료 서비스의 연속성에 심각한 위협을 가하고 있습니다. 저희 분석 프로토콜에 따라 XC SIGNAL로 분류된 이 사건은 라틴 아메리카 공공 인프라 내 민감한 의료 데이터 보호와 관련하여 심각한 우려를 제기합니다. 표적이 된 조직은 1만 명 이상의 직원을 고용하고 있으며 브라질 의료 시스템의 핵심 축입니다.

이번 침해 사건은 공공 보건 기관을 표적으로 삼는 사이버 공격의 심각한 추세를 보여줍니다. 공공 보건 기관은 서비스의 중요성과 암시장에서의 의료 정보 가치로 인해 특히 취약합니다. 공격적인 운영 모델로 유명한 Nova의 악성 행위자는 복잡한 정부 시스템에 침투할 수 있는 능력을 입증했습니다. 잠재적 영향은 단순한 의료 정보 유출을 넘어 브라질 국민의 디지털 의료 시스템에 대한 신뢰와 중요 인프라의 운영 역량에 직접적인 영향을 미칩니다.

Analyse détaillée

nova: 랜섬웨어 조직의 수법, 역사 및 피해자

nova는 RALord의 전략적 리브랜딩으로 알려진 사이버 범죄 조직으로, 매우 정교한 랜섬웨어 서비스형(RaaS) 모델에 따라 운영됩니다. 2025년에 관찰된 이러한 리브랜딩은 언론 노출이나 법 집행 조치 이후 사이버 보안 팀을 피하고 운영을 재개하려는 악의적인 행위자들 사이에서 흔히 나타나는 추세의 일부입니다.

nova가 채택한 RaaS 모델은 자사의 기술 인프라를 제3자 계열사에 프랜차이즈 방식으로 제공하여, 이들이 침입을 수행하고 핵심 개발자들이 악성코드, 결제 인프라 및 기술 지원을 제공할 수 있도록 합니다. 이러한 분산형 접근 방식은 각 공격이 관련 계열사에 따라 서로 다른 전술적 특성을 가질 수 있기 때문에 원인 규명 및 사고 대응을 상당히 복잡하게 만듭니다. 수익은 일반적으로 70/30 또는 80/20으로 분배되며, 운영상의 위험을 감수하는 제휴사에게 유리합니다.

Nova의 전술, 기술 및 절차(TTP)는 RALord의 전통을 기반으로 하며, 일반적으로 표적 피싱을 통한 초기 공격 벡터, 인터넷에 노출된 서비스의 취약점 악용, 그리고 크리덴셜 스터핑을 통한 권한 계정 침해를 포함합니다. 초기 접근이 확보되면, 이 그룹은 네트워크 정찰 도구를 배치하고 백도어를 통해 지속성을 확보하며, 최종 암호화 전에 민감한 디지털 자산을 체계적으로 유출합니다.

→ Nova 그룹의 전체 분석에 따르면, 피해를 입은 조직은 중요 분야에서 증가하는 피해자 그룹에 합류했으며, 특히 공공 인프라 및 매우 전략적인 데이터를 보유한 조직을 선호하는 것으로 나타났습니다. 이 그룹은 시스템 암호화와 도난 정보 공개 위협을 결합하여 피해자에게 가해지는 압력을 극대화하고 몸값 지불 가능성을 높이는 이중 갈취 전술을 선호합니다.

Atenção Primária à Saúde Brazil: 의료 회사 프로필(직원 10,000명 이상) - BR

Atenção Primária à Saúde Brazil은 브라질 1차 의료 시스템의 중추를 이루며, 국민과 국가 공중 보건 네트워크의 첫 번째 접점을 담당합니다. 이 대규모 정부 인프라는 브라질 전역에서 10,000명 이상의 의료 전문가, 행정가, 기술 인력을 고용하여 매일 수백만 명의 브라질 국민에게 필수적인 의료 서비스를 제공합니다.

본 기관은 의료 분야에서 중요한 공중 보건 사명을 수행하며 환자 기록, 치료 내역, 제약 정보, 역학 데이터 등 방대한 양의 민감한 의료 데이터를 관리합니다. 브라질 의료 생태계의 이러한 중심적인 위치는 의료의 연속성뿐만 아니라 국가 역학 감시 및 공중 보건 정책 계획에도 중요한 전략적 중요성을 부여합니다.

브라질에 본사를 두고 26개 주와 연방 지구에 걸쳐 구축된 Atenção Primária à Saúde Brazil의 디지털 인프라는 수천 개의 보건소, 지역 병원, 그리고 지역 의료 시설을 상호 연결합니다. 이러한 분산형 아키텍처는 대륙적 규모의 국가에서 의료 접근성을 보장하는 데 필수적이지만, 잠재적 공격 표면을 증가시키고 강력한 사이버 보안 조치의 일관된 구현을 복잡하게 만듭니다.

이러한 조직의 침해는 일반적인 사이버 보안 사고를 훨씬 넘어 국가 보건 주권에 직접적인 영향을 미칩니다. 이 인프라에서 관리되는 의료 정보는 지하 포럼에서의 시장 가치와 신원 사기, 강탈, 심지어 의료 스파이 활동에 악용될 가능성 때문에 사이버 범죄자들의 주요 표적이 됩니다. 잠재적인 운영 중단은 취약 계층의 의료 접근성을 위협하고 필수적인 공중 보건 프로그램을 손상시킬 수 있습니다.

기술 분석: 노출 수준

Atenção Primária à Saúde Brazil에 영향을 미친 사고는 XC-Classify 평가 프로토콜에 따라 XC SIGNAL 수준으로 분류되었습니다. 이는 조기 경보로 모니터링 강화가 필요하지만, 대규모 데이터 유출에 대한 즉각적인 확인은 이루어지지 않았음을 의미합니다. NIST의 기밀성, 무결성 및 가용성 기준에 따라 설정된 이 수준은 악의적인 공격자가 상당한 증거나 상당한 양의 유출된 파일을 즉시 공개하지 않고 침해에 대한 책임을 주장했음을 시사합니다.

CTI 팀은 잠재적으로 노출된 디지털 자산의 정확한 특성을 심층 분석 중입니다. 이 규모의 1차 의료 인프라 환경에서, 침해되었을 가능성이 있는 데이터에는 일반적으로 수백만 명의 환자의 신원, 진단, 처방 및 치료 내역이 포함된 전자 건강 기록이 포함됩니다. 또한 민감한 행정 정보, 의료진의 인사 데이터, 환급 및 예산 관리와 관련된 재무 정보, 그리고 의료 서비스의 일상 운영에 중요한 운영 데이터도 포함될 수 있습니다.

현재 조사 단계에서는 초기 공격 벡터가 공개적으로 확인되지 않았습니다. 그러나 인증된 데이터에 대한 분석 결과, 브라질 공공 의료 인프라에서 흔히 관찰되는 취약점과 노바의 전형적인 TTP(전술적 공격)와 일치하는 시나리오가 유력하게 제시됩니다. 노후화된 의료 관리 시스템의 패치되지 않은 취약점 악용, 행정 직원을 대상으로 한 피싱 캠페인을 통한 권한 계정 침해, 또는 보안이 취약한 원격 데스크톱 프로토콜(RDP) 서비스를 통한 침투 등이 가설에 포함됩니다.

분산형 인프라를 표적으로 하는 복잡한 사고의 경우와 마찬가지로, 이번 침입의 정확한 시점은 여전히 불확실합니다. 2025년 12월 4일자로 발표된 이 공개 주장은 일반적으로 암호화 및 강탈 단계보다 몇 주 또는 몇 달 앞서 발생하는 초기 접근 시점을 반영하지 않습니다. 이러한 지연 시간 덕분에 공격자는 강력한 지속성을 확보하고, 네트워크 환경을 매핑하고, 고가치 자산을 식별하고, 자신의 존재를 드러내기 전에 체계적으로 데이터를 유출할 수 있습니다.

→ XC SIGNAL 등급은 브라질 의료 분야의 유사 기관들을 특히 중점적으로 다루고 있으며, 이러한 주장은 보안 태세 및 침입 탐지 역량을 즉시 검토해야 하는 경고 신호로 간주해야 합니다.

Conclusion

의료 분야에 미치는 영향: 브라질의 위험 및 규제