서울대학교 병원, 해킹당해 환자정보 유출

랜섬웨어 공격으로 알려져... 환자 등록번호, 이름, 진료명 등 유출

[보안뉴스 원병철 기자] 서울대학교 병원이 랜섬웨어 공격으로 환자정보 일부가 유출된 것으로 알려졌다. 유출된 정보는 병원 방문시 입력한 등록번호, 환자이름, 진료명 등이며, 주민등록번호나 연락처, 거주지 등 개인정보는 포함되지 않은 것으로 알려졌다. 특히 아직 공격 방법이나 정확한 피해규모는 알려지지 않았는데, 보안업계에 따르면 랜섬웨어 공격을 받은 것으로 보인다.

[서울대학교 병원 홈페이지=보안뉴스 캡처]

서울대학교 병원 측은 지난 7월 6일 ‘사이버공격에 의한 개인정보 유출(의심)에 대한 안내’ 공지를 올리고 6월 5일부터 11일 동안 악성코드 감염을 통한 해킹 형태의 사이버공격이 확인됐다면서, 이에 대한 조사 중 서울대학교 병원에서 보유중이던 일부 개인정보를 담은 파일의 유출이 의심되는 정황이 확인됐다고 밝혔다.

이에 즉시 교육부·보건복지부·개인정보보호위원회·사이버수사대 등에 신고하고 ①해당 IP 및 접속 경로 차단 ②서비스 분리 ③취약점 점검 및 보완조치 ④모니터링 강화 ⑤사용자 PC 비밀번호 변경 ⑥개인정보보호위원회 등 관련 유관기관 신고 등의 조치를 취했다고 밝혔다.

아울러 서울대학교 병원은 유출 가능성이 있는 개인정보는 개인별로 차이가 있어 병원에 등록된 휴대전화번호로 개별로 연락했으며, 홈페이지에서도 확인이 가능하다고 밝혔다.

한편, 서울대학교 병원은 국립대학교 부속 병원이기 때문에 한국사회보장정보원이 운영하는 ‘의료ISAC’이 아닌 한국교육학술정보원에서 관제를 하는 것으로 알려졌다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)