무슨 일이 일어났나
2026년 3월 초, 미국 의료기기 대기업 Stryker가 대규모 사이버 공격을 받았습니다. 이란 정보안보부(MOIS) 연계 해킹 그룹 Handala가 범행을 주장했으며, 79개국에 걸친 Stryker의 글로벌 운영이 마비됐습니다.
공격의 규모는 전례가 없습니다:
- 20만 대 IT 장비 원격 삭제(wipe)
- 50TB 데이터 탈취
- 79개국 운영 중단
- 주가 4.5% 급락
KrebsOnSecurity, TechCrunch, SecurityWeek, Al Jazeera 등이 일제히 보도했습니다.
어떻게 공격했나
공격의 핵심은 Microsoft Intune 관리자 계정 탈취였습니다. Intune은 기업이 수만 대의 장비를 원격으로 관리하는 도구입니다.
- Handala가 Stryker의 Intune 고권한 관리자 계정을 탈취
- Intune에 등록된 모든 장비 선택
- 원격 삭제(Remote Wipe) 명령을 동시 실행
- 20만 대 장비가 순식간에 초기화
비유하자면, 아파트 관리사무소 마스터키를 훔쳐서 모든 세대의 문을 동시에 열고 가구를 전부 치워버린 것과 같습니다. 장비 자체는 파괴되지 않았지만, 모든 데이터와 설정이 사라졌습니다.
WION에 따르면 직원들의 iPhone도 Intune을 통해 원격 삭제됐습니다.
왜 공격했나
Handala는 이번 공격이 미국의 이란 군사 공격에 대한 보복이라고 밝혔습니다. 구체적으로 이란 남부 미나브 지역 여학교 폭격(150명 이상 사망)에 대한 보복이라고 주장했습니다.
Handala는 이란 MOIS 산하 Void Manticore가 운영하는 여러 온라인 페르소나 중 하나로 평가됩니다.
의료 공급망에 미친 영향
Stryker는 연매출 200억 달러 이상의 세계 최대 의료기기 기업 중 하나입니다. 인공관절, 수술 장비, 의료 로봇 등을 생산합니다.
이번 공격으로 인해:
- 수술 장비 출하 지연
- 재고 관리 시스템 마비
- 병원과의 전자 주문 시스템 중단
- 글로벌 의료 공급망 혼란
지금 할 수 있는 대응법
기업 IT 관리자라면:
- Intune/MDM 관리자 계정에 하드웨어 MFA 적용 (FIDO2 키 권장)
- 조건부 액세스 정책으로 관리자 로그인 IP/장치 제한
- 대량 원격 삭제 명령에 추가 승인 워크플로우 설정
- Intune 감사 로그를 SIEM에 연동하여 이상 행위 실시간 감지
일반 사용자라면:
- 회사 장비의 중요 데이터는 오프라인 백업 유지
- MDM으로 관리되지 않는 개인 장비에 민감한 업무 데이터 보관 금지
참고