한국의료분석원 해킹? 평문전송 등 보안 취약

한국의료분석원, 신체감정 관련 중요문서 보안 미흡

삼성화재, 위·수탁 업체의 허술한 보안관리 문제 지적돼

[보안뉴스 김경애] 바이러스토탈 사이트에 기업과 기관의 내부문서 다수가 노출돼 우려가 커지고 있는 가운데 바이러스토탈에 올라간 내부문서를 보유했던 한국의료분석원의 해킹 가능성도 제기되고 있다. 이러한 상황에서 한국의료분석원 내부 인트라넷 페이지의 아이디와 패스워드가 암호화되지 않고 평문으로 전송된 정황이 포착돼 이번 사건이 또 다른 파장을 낳고 있다.

▲ 한국의료분석원 내부 인트라넷 페이지의 아이디와 패스워드가 암호화되지 않고
평문으로 전송된 정황 화면.

지난 22일 삼성화재 관계자는 “해당 문서는 한국의료분석원이 내부적으로 해킹당한 것”이라며, “노출된 문서는 삼성화재로부터 유출되지 않았고, 관련성도 없다”고 주장했다.

한국의료분석원은 2002년 설립된 의료 분쟁 전문 컨설팅 업체로, 진료기록, 진료비에 대한 전문적인 분석업무 등을 수행한다고 설명하고 있다. 이로 인해 개인에게 매우 민감한 정보인 진료 및 치료 기록들을 다수 보유하고 있을 것이라는 추측이 가능하다.

본지가 살펴본 결과, 바이러스토탈 사이트에 노출된 해당문서는 한국의료분석원 측에서 작성한 문서 1건, 법률사무소 문서 1건 등으로 한국의료분석원 측에서 작성한 문서의 경우 수신이 삼성화재로 되어 있으며, ‘원고 000 件 신체감정대응’ 제목으로 신체감정대응 결과를 회신 업무에 참조하라는 문구가 있다.

법률사무소 문서의 경우 지난 21일 작성한 것으로 추정되며, ‘신체감정 관련자료 참조요청’ 제목으로 수신은 00대학교 0000병원 병원장 앞이다.

특히, 해당문서는 특정 개인의 사고 및 치료내용이 적혀 있으며, 진료기록지 일부, 후유장해진단서, x-Ray 검사자료, 입원, 수술 등의 관련 내용이 상세히 기재돼 있다. 이렇듯 민감한 개인정보가 담긴 내부문서가 보안 허술로 인해 바이러스토탈 사이트에 공개돼 버린 셈이다. 게다가 보험사인 삼성화재의 경우 신체감정을 의뢰한 업체로 미흡한 위·수탁 관리감독 문제도 지적되고 있다.

한국의료분석원 역시 지난 22일 본지와의 통화에서 내부자료가 어떻게 유출됐는지 모르겠다며, 해킹을 의심했다.

▲ 바이러스토탈 사이트에 올려진 한국의료분석원 내부문서 캡처 화면(본지 22일 입수)

그러나 보안전문가들은 서버 해킹 가능성보단 한국의료분석원의 내부 인트라넷 페이지 노출과 삼성화재와의 위·수탁관계에서 발생한 허술한 보안관리 문제를 제기했다.

닉네임 Auditor Lee로 활동하고 있는 보안전문가는 바이러스토탈에 올라온 수신자가 삼성화재로 되어 있는 한국의료분석원 내부문서에 대해 다음과 같은 의견을 밝혔다. 그는 “두 가지 측면에서 생각해볼 수 있다. 보안 솔루션에서 자동으로 바이러스토탈에 올렸을 가능성과 보안 설정이 미흡해 외부에 노출됐을 가능성이 있다. 특히, 한국의료분석원 내부 인트라넷 웹페이지의 아이디와 패스워드가 평문으로 전송된 걸 봐선 보안 설정을 하지 않았던 것 같다”고 진단했다. 하지만 그는 삼성화재와 한국의료분석원의 로그를 살펴보기 전까지는 명확히 알 수 없다고 덧붙였다.

빛스캔 문일준 대표는 “해당 문서에 대한 명확한 검증이 이루어지기 전에는 해당 문서의 유출경로가 삼성화재인지 한국의료분석원인지 확인할 수 없다”며 “설사 삼성화재 문서가 아니더라도 해당 문서의 수신지가 삼성화재이며, 진료분석 자료나 관련 인증서는 매우 중요한 문서로 보안위협에 노출될 경우 심각한 결과를 초래할 수 있기 때문에 위·수탁 관리 측면에서 책임 소재가 따를 수 있다”고 밝혔다.

하지만 삼성화재 관계자는 위·수탁 문제와 관련해 “노출된 해당 문건중 소송 부분과 관련해서는 유신 법률사무소에 위임을 했으며, 유신 법률사무소는 한국의료분석원과 위수탁 관계로 삼성화재는 위·수탁 관리와 관련이 없다”고 주장했다.

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)