Breaking
사이버 보안(Cybersecurity)
보안 강화·인식 각성 필요하다…'사이버 공격' 노출된 '의료계' 
2019-06-26 18:29:55
조현
▲유콘 헬스의 데이터 유출 사건으로 약 30만 명의 환자 데이터가 도용될 위기에 처했다(사진=ⓒ플리커)

[라이헨바흐=조현 기자] 의료 기업 유콘 헬스(Uconn Health)가 사이버 공격으로 환자 데이터 도용 위기에 처했다.

기술 산업이 발전하면서 이에 따른 보안 사건도 끊이지 않는다. 그중에서도 하루가 멀다고 나오는 기업과 기관의 데이터 유출 사례는 소비자들의 개인 정보 침해 우려를 가중한다. 

특히 최근에 유출 사건을 겪은 유콘 헬스의 환자 데이터 해킹은 건강 관리 분야가 보안 시스템에 취약하다는 사실을 바로 보여준다.

유콘 데이터 유출 사건

한 전문 매체에 따르면 유콘 헬스는 지난해 12월 직원들의 이메일에 무단으로 접근한 해킹 공격으로 인해 대규모의 데이터 유출 사건을 겪었다. 

이는 이곳에 등록된 약 32만 6,000여 명의 환자들에게 중대한 영향을 끼칠 수 있어 심각하게 받아들여지고 있다. 유콘 헬스는 미국 코네티컷주 파밍턴에 소재한 코네티컷 대학의 헬스센터다.

게다가 이 사건이 더욱 진통을 겪는 이유는 사건 발생일이 바로 지난해 크리스마스이브였다는 사실이다. 

이날 액세스 권한이 전혀 없는 제삼자, 즉 해커가 수많은 직원의 이메일 계정에 접근한 것으로, 이는 궁극적으로는 30만 명이 넘는 환자들의 개인 데이터 도용으로 이어질 수 있다는 의미가 된다.

유출된 데이터에는 환자들의 개인 주소와 이름, 생년월일, 청구서 내역 및 진료 예약 정보들이 포함돼있다. 

도난당한 정보 대부분은 모두 이 수준에서 끝났지만, 일부 다른 환자들은 우리나라의 주민등록번호에 해당하는 사회보장번호까지 유출돼 더 심각하다. 사회보장번호가 유출된 환자 수는 약 1,500명으로 추정된다.

이와 관련해 유콘 헬스는 성명을 통해 "사건 발생 후 즉시 무단 액세스를 방지하고 이메일 시스템의 보안 확인을 위해 영향을 받은 계정을 모두 보호하는 조처를 했다"고 밝혔다. 

이어 "법 집행 기관에 통보하고 주요 법의학 보안 기업들이 유출된 이메일 계정에서 개인 정보를 포괄적으로 검색하고 수사하도록 했다"고 덧붙였다. 

그러나 사건이 발생한 지 한 달이 지난 최근에야 유출 사건을 공개한 이유는 설명하지 않았다.

센터는 또한 "물론 해커가 환자의 개인 정보를 완전히 손에 넣고 도용했다는 확신은 없는 상태라며, 환자들에게 영향이 미치리라 추정하기는 어렵다"고 밝혔다. 

그리고 센터는 이어 "그러나 한 가지 확실한 사실은 이 모든 정보가 포함된 유콘 직원의 이메일 계정이 불법적으로 액세스 됐다는 점이다"고 전했다.

그러면서 센터는 "이 시점에서 개인 환자들에 대한 어떠한 사기나 신원 도용에 대해 인지한 바가 없으며, 개인 정보가 비공개 당사자에 의해 노출되거나 판매됐는지도 알지 못한다"고 말했다. 

센터는 그러나 무단으로 액세스 된 정보들을 모두 세세하게 분리할 수 없어, 정보가 유출된 환자들에게 개별적으로 연락해 통지했다고 전했다. 이어 사건이 컴퓨터 네트워크나 전자 의료 기록 시스템에는 아무런 영향을 미치지 않았다고 강조했다.

▲유콘 헬스 외에도 다수의 건강 관리 기업들이 데이터 유출 사건을 겪고 있다

 

연이은 피싱 공격

이번 유콘 헬스의 데이터 유출은 원래 사용자의 재량이나 지식 없이 불법으로 사용자들의 중요한 정보를 빼내는 피싱 공격으로 여겨진다. 한 보안 전문 업체는 이번 유콘 사건 외에도 피싱 공격 및 해킹 사건으로 인한 피해는 잦다고 지적했다.

한 예로, 미네소타에 소재한 '생식의학및불임협회(RMIA)' 에서 발생한 해킹 사고로 4만여 명의 개인 정보가 유출된 사례가 있었다. 

이 사건 역시 지난해 12월에 발생했으며, 유콘 사건과 마찬가지로 한 달이 지나서야 보고됐다. 이 협회는 성명을 통해 멀웨어 공격의 타깃이 돼 해킹을 당한 것으로 보인다고 전했지만, 사실상 4만여 개의 데이터가 불법으로 액세스 된 것인지에 대한 증거는 보이지 않는다. 

협회는 그러면서 이름과 주소, 생년월일, 건강보험 정보, 제한된 치료 정보, 기증자들의 사회보장번호 등 환자의 개인 정보들이 접근 가능할 수 있다는 것을 완전히 배제할 수 없다고 강조했다.

이뿐만이 아니다. 사우스캐롤라이나의 찰스톤에 소재한 로퍼 세인트 프란시스 헬스케어와 워싱턴의과대학 역시 이 같은 유출 사건의 피해자들이다. 

워싱턴의과대학의 경우 웹 사이트 데이터베이스의 잘못된 구성으로 인해 97만 4,000여 명의 개인 데이터가 영향을 받아 올해의 최대 데이터 유출 사건으로 간주된다. 그다음은 유콘 헬스다.

사이버 보안에 관한 관심 부족

실제로 지난 몇 개월 동안 피싱 공격 및 해킹 사건이 의료 산업에서 빈번하게 발생하고 있다. 이는 건강 관리 기업들이 비즈니스의 필수적인 부분인 보안 강화에 신경 쓰지 않았다는 증거가 된다. 

그리고 피해 복구로 인해 비용은 더 늘어날 수밖에 없다. 직원의 실수로 인한 사소한 보안 결함일지라도 개인 데이터의 노출로 이어질 수 있다는 점을 명심해야 한다.

보안 컨설팅 기업인 사이너지스텍의 맥 맥밀란은 "기업의 최고경영자들이 데이터 보호에 대한 투자를 고려하지 않는다"고 설명했다. 

현재 벌어지는 많은 유출 사건들은 건강 관리 분야의 만연한 공격을 보여주는 징후지만, 관련 조직이나 기업은 여전히 보호나 탐지에 충분한 투자를 하지 않는다는 지적이다.

[라이헨바흐=조현 기자]