Home > 전체기사
미국 병원 체인인 아트리움 헬스에서 265만 개인정보 유출
  |  입력 : 2018-11-29 10:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
265만 개인정보 저장되어 있는 애큐독의 DB에 불법적 접근
서드파티로 인한 리스크 관리, 아직도 갈 길 멀어


[보안뉴스 문가용 기자] 병원 네트워크인 아트리움 헬스(Atrium Health)에서 개인정보 유출 사고가 발생했다. 아트리움 측이 미국 현지 시각으로 화요일 환자들에게 보낸 내용에 의하면, 아트리움의 기술 파트너인 애큐독(AccuDoc)의 침해를 통해 이 같은 사고가 발생한 것이라고 한다.

[이미지 = iclickart]


아트리움 헬스는 캐롤라이나스 헬스케어 시스템(Carolinas HealthCare System)의 후신으로, 미국 동남부 지역을 중심으로 활동하고 있으며, 약 40개 병원과 900개 건강 센터를 통해 다양한 건강 및 웰빙 프로그램을 제공하고 있다.

지난 10월 1일, 아트리움 헬스는 파트너사인 애큐독의 데이터베이스로 누군가 불법적으로 접근했다는 사실을 알게 됐다. 애큐독은 청구서 발행, 지불 처리 등 여러 기술적인 서비스를 의료 분야에 제공하는 업체로, 애큐독의 데이터베이스에는 아트리움 헬스의 여러 지점에서 생성된 지불 관련 정보들이 저장되어 있었다.

해당되는 지점은 블루리지 헬스케어 시스템(Blue Ridge HealthCare System), 콜럼버스 리저널 헬스 네트워크(Columbus Regional Health Network), NHRMC 피지션 그룹(NHRMC Physician Group), 스코틀랜드 피지션즈 제트워크(Scotland Physicians Network), 세인트 류크스 피지션 네트워크(St. Luke's Physician Network)이다.

애큐독이 자체적으로 조사한 바에 의하면 침입자는 9월 22일과 9월 29일 사이 약 1주일 동안 애큐독의 시스템에 접근했었다. 침해된 데이터베이스에는 환자와 보호자(환자의 지불 문제를 담당하는 자)의 이름, 생년월일, 주소, 가입된 보험 상품, 의료 기록 번호, 청구서 번호, 계좌 잔액, 서비스 받은 날, 사회보장번호(일부) 등 개인정보가 저장되어 있었다.

이 사건에 영향을 받은 환자는 총 265만 명이며, 아트리움 측은 환자들에게 메일을 보내 사실을 알렸다. 또한 아트리움 계좌에서 일어나는 일들을 지켜보고, 신용 파일에 사기 경고를 활성화시키라고 권장했다. 그러면서 의료 기록이나 은행 계좌 번호, 지불 카드 정보는 저장되지 않은 상태였다고 아트리움은 고객들에게 알렸다. “침입자가 정보에 접근하긴 했어도 훔쳐갔다거나 범죄에 악용했다는 증거는 아직 찾지 못했다”고 주장하기도 했다.

보안 업체 사이퍼클라우드(CipherCloud)의 CEO인 프라빈 코타리(Pravin Kothari)는 “드디어 의료 분야의 데이터 보안이 나아지기 시작했다는 생각이 들 타이밍에 터진 보안 사고”라며 “이 한 번의 사건으로 의료 분야 보안은 새로운 데이터 유출 기록을 세우게 됐다”고 말했다. “2017년 상반기에는 약 160만 건의 의료 기록이 유출됐고, 하반기에는 170만 건의 의료 기록이 새나갔습니다. 2018년 상반기는 190만 건이고요, 하반기는 소식이 없는 듯 하다가 한 번에 265만이 됐습니다. 의료 분야의 데이터 보안은 아직 갈 길이 멀었습니다.”

또 다른 보안 업체 사이버세인트 시큐리티(CyberSaint Security)의 CEO 조지 렌(George Wrenn)은 서드파티 보안 문제라고 이번 사건을 정리한다. “보통 사업을 확장시킨다는 건 파트너들을 늘린다는 것을 의미합니다. 파트너 수가 늘어나면 늘어날수록 리스크도 늘어나고, 이걸 관리하는 게 중요한 문제가 되죠. 중간 규모 기업과 대기업의 75%가 ‘앞으로 파트너사가 최소 20%는 늘어날 것’이라고 기대하고 있습니다. 즉 서드파티에 대한 관리가 단순히 보안 부서만의 책임이 아니라는 겁니다. 사업을 확장시키는 모든 사람들의 책임이죠. 즉 경영진과 임원진들이 중요한 고위층 회의에서 다뤄야 할 것이라는 뜻입니다.”

가트너 조사에 의하면 포춘 500대 기업의 75%가 2020년까지 ‘파트너사 리스크 관리’ 문제를 경영진 회의에서 다루게 될 것이라고 한다. 사업이 커가는 데에 있어 당연히 수반되는 부분이라고 사업가들이 받아들이기 시작했기 때문이다. 렌은 “경영진들은 사업상 발생하는 모든 리스크를 한 눈에 볼 수 있길 원하는데, 이제 거기에 파트너사 목록도 포함되어야 합니다. 그렇지 않고 덩치만 불리는 건 의미 있는 사업 확장 행위라고 볼 수 없습니다.”

3줄 요약
1. 병원 및 의료센터 체인인 아트리움 헬스에서 265만 환자 정보 유출됨.
2. 문제 발생지는 아트리움 헬스의 기술 파트너사인 애큐독.
3. 의료 분야와 서드파티 관리, 보안의 측면에서 참 발전 안 되는 분야.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)