세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
미국의 의료 서비스 업체 메드안텍스, 내부자 실수로 정보 유출
  |  입력 : 2018-04-25 13:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
물리치료사들 사용하는 툴들에서 인증 절차 발견되지 않아
여러 디렉토리 노출...의사와 환자의 민감한 정보 들어있어


[보안뉴스 문가용 기자] 의료 문서 서비스를 제공하는 미국의 메드안텍스(MEDantex)에서 보안 사고가 발생했다. 회사는 즉각 고객 포털을 닫는 조치를 취했지만 이미 민감한 정보가 밖으로 새나간 이후였다고 한다.

[이미지 = iclickart]


메드안텍스가 제공하는 웹 포털을 통해 물리치료사들은 환자들과 관련된 음성 기록물을 업로드시킬 수 있다. 이 정보는 매우 민감할 수 있어 비밀번호로 보호되는 것이 보통이다. 그러나 보안 전문 매체인 크렙스온시큐리티(KrebsOnSecurity)에 의하면 이 정보들이 비밀번호나 기타 보안 장치 없이 일반 인터넷에 공개된 상태였다고 한다.

이런 가운데 메드안텍스 직원들이 사용하는 온라인 툴들 역시 인터넷에 노출되었다고 한다. 여기에는 사용자들을 추가하거나 뺄 수 있는 관리 툴도 포함되어 있는데, 여기에는 환자나 물리 치료사들의 개인정보도 관리된다고 한다. 이 툴들에 인증 장치도 없어 아무나 아무 이름을 무작위로 집어넣거나 뺄 수 있다.

노출된 여러 디렉토리들 중 하나에는 2300명이 넘는 물리치료사의 정보가 담겨있었다고 한다. 그 외에도 환자 기록들이 저장되어 있는 디렉토리도 노출됐는데, 이러한 민감한 정보들은 전부 마이크로소프트 워드 문서나 오디오 파일 형태로 정리되어 있어 다운로드만으로 손쉽게 열람이 가능하다. 메드안텍스의 서비스가 얼마나 오랜 기간 동안 이러한 상태로 유지됐는지는 정확히 알 수 없지만 구글 캐시를 추적했을 때 최소 4월 10일부터라고 나타난다.

메드안텍스의 CEO인 스리람 파이다(Sreeram Pydah)는 이러한 사실을 확인했으며 온라인 서버를 새롭게 구성했다고 발표했다. 또한 이전에 화이트로즈(WhiteRose)라는 랜섬웨어의 공격을 받은 적이 있어 IT 시스템을 재정비한 적이 있는데, 당시 뭔가 설정 오류가 발생한 것으로 보인다는 설명도 곁들였다. “하지만 더 정확한 조사를 위해 사이트를 오프라인으로 만들어 수사를 진행할 예정입니다.”

최근 버라이즌이 발표한 데이터 침해 수사 보고서(DBIR)에 의하면 2017년 발생한 모든 유출 사고의 1/4이 의료 분야에서 발생했다고 한다. 또한 의료 산업 분야는 내부자의 행위가 외부자의 공격보다 더 큰 피해를 입힌 것으로도 유일한 기록을 수립했다. 내부자가 데이터 유출을 유발한 비율이 56%나 된 것이다.

보안 업체 사이버GRX(CyberGRX)의 CEO인 프레드 네이프(Fred Kneip)는 “이제 의료 기관의 소비자들도 단순 의료 서비스 수준만이 아니라 고객 정보 보호 수준으로 기관에 대한 신뢰를 쌓거나 잃을 수 있는 때”라는 걸 기억해야 한다고 강조했다.

“의료 기술에만 집중하는 것이 아니라, 그러한 기술로 생성되는 데이터들이 환자들에게 얼마나 중요한 것인지를 의료 서비스 종사자들도 슬슬 이해할 때가 되었습니다. 그것이 환자뿐만 아니라 기관의 명예와 신뢰를 보호하는 길이기도 합니다. 환자를 지키는 건 그들의 건강과 데이터를 다 지키는 걸 의미합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)