미국 텍사스에 본사를 둔 의료 서비스 기업 HMG 헬스케어는 40개의 계열 요양 시설에 영향을 미친 대규모 사이버 공격으로 대량의 데이터 유출 피해를 입었다.

지난 2023년 11월에 발견된 이 유출 사고로 인해 환자들과 직원의 개인 건강 정보가 노출되었다.

2023년 8월, 사이버 위협 공격자는 HMG 헬스케어 서버에 무단으로 액세스하면서 유출 사고가 발생했다. 탈취한 파일은 암호화되지 않았다. 11월에 발견 즉시 조사에 착수해 유출된 데이터의 규모를 파악했다.

유출된 데이터에는 이름, 생년월일, 연락처 정보, 주민등록번호, 고용 기록, 의료 기록, 일반 건강 정보 등 민감한 정보가 풍부하게 포함되어 있었다.

HMG 헬스케어는 영향을 받은 개인과 해당 당사자에게 침해 사실을 알리기 위한 조치를 취하고 있다. 회사는 피해자들의 2차 피해를 방지하기 위해 계좌 명세서, 혜택 설명, 신용 조사 기관 보고서를 면밀히 모니터링할 것을 권고했다.

회사는 공지를 통해 정확한 피해자수를 공개하지 않았지만, 텍사스 법무장관에게 제출한 자료에 따르면 약 75,000명의 텍사스 주민이 영향을 받은 것으로 나타났다.

HMG 헬스케어는 피해 문의를 처리하기 위해 연락 센터를 개설하고 영향을 받은 시설의 목록을 공개했다. 구체적으로 유출된 데이터를 파악하기 위한 노력에도 불구하고, HMG는 이를 파악하는 데 어려움이 있음을 인정했다.

공지에 사이버 공격의 성격이 명시적으로 언급되어 있지는 않지만, 전문가들은 이 조직이 랜섬웨어 공격의 희생양이 되었을 것으로 추정하고 있다. 침해의 동기와 HMG 헬스케어가 몸값을 지불했는지 여부는 아직 공개되지 않았다.

HMG 헬스케어의 CEO는 사고 이후 조직이 데이터 보안 프로토콜을 강화했다고 밝혔다. 그러나 추가 보안 조치에 대한 구체적인 내용은 공개되지 않았다.

HMG 헬스케어 데이터 유출 사건은 의료 분야에서 강력한 사이버 보안 조치가 시급히 필요하다는 점을 시사하는 사례가 될 것이다.

이번 사건은 전 세계 의료 기관이 데이터 보안을 최우선 과제로 삼아 맡겨진 민감한 정보를 보호해야 한다는 사실을 다시 한 번 일깨워 준다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★