미국 대형 건강보험사 앤섬, 개인정보 8천만건 유출

게시일: 2015-02-05 l 작성자: Christopher Budd

미국의 대형 건강보험회사인 앤섬(Anthem)에서 최대 8천만 건에 달하는 고객과 직원의 개인정보가 유출되었습니다. 초기 보고서에 따르면 유출된 정보에는 이름, 생년월일, 사회보장번호, 주소 및 수입을 비롯한 고용 관련 데이터가 포함된 것으로 밝혀졌습니다. 모두 ID 도용에 효과적인 정보들입니다. 정확한 유출 건수는 아직 파악 중이나 앤섬이 밝힌 바로는 수천만 건에 이를 가능성이 높습니다.

이러한 상황을 더욱 심각하고 위험하게 만드는 것은 다음과 같은 2가지 사실입니다.

  1. 공격자들은 의료 서비스 기관이 많은 개인정보를 훔칠 수 있는 곳임을 정확하게 인지하고 있었을 것입니다. 미국에서는 보통 중요한 개인정보를 아무렇지 않게 의료 서비스 기관에 넘겨주곤 합니다. 심지어 자신의 정보뿐 아니라 가족의 정보까지도 제공합니다. 그러므로 성공적인 ID 절도가 목표라면 이보다 훔치기에 더 좋은 데이터는 없을 것입니다.
  2. 이번 공격은 블루크로스 블루쉴드 협회(Blue Cross and Blue Shield Association)에 속한 영리 목적의 가장 큰 의료 서비스 업체이자 미국에서 2번째로 큰 의료 보험 업체를 대상으로 일어났습니다. 작은 업체가 아닙니다. 앤섬은 엄청난 양의 리소스를 갖춘 업체로, 업계의 거물입니다. 다시 말해 이번 공격은 그만큼 매우 정교한 공격이었으며 이 거대한 업체가 실로 커다란 피해를 입었다는 것을 말해줍니다. 이 거대 업체도 속수무책이었습니다. 즉 이런 규모의 기업이 공격에 희생될 수 있다는 것은 업계 전체를 염려해야 한다는 뜻입니다.

약 1년 전 FBI는 의료 서비스 업계가 위험에 처했다고 경고했습니다. 오늘 발표를 통해 그 경고가 근거 없는 이야기는 아니었다는 사실이 밝혀졌습니다. 그리고 오늘 우리는 성공적인 공격의 결과가 어떠한지를 목격했습니다. 또한 무엇보다 이것이 업계 전체가 직면한 위험이며, 공격에 있어 업체의 규모나 종류는 문제가 되지 않는다는 사실을 확인했습니다.

의료 서비스 기관은 작년에 FBI가 경고했던 내용에 주의를 기울여야 합니다. 침입을 방지하는 예방책을 실시하는 것뿐 아니라 이러한 침입이 일어났을 때 이를 탐지할 수 있는 대비책을 마련해야 합니다. 이 글을 쓰고 있는 지금도 다른 의료 서비스 기관의 네트워크가 이미 침입을 당해 정보가 유출되고 있는지도 모릅니다. 문제는 그 일이 밝혀질 때까지 얼마의 시간이 걸릴 것인가 하는 것입니다.

의료 서비스 업계가 작년 소매업계 정보유출 사건에서 얻을 수 있는 교훈은 정보를 위해 협력하고 이를 매우 빠르고 광범위하게 공유해야 한다는 것입니다. 심지어 공격자들도 서로 정보를 공유합니다. 의료 서비스 분야는 정보 공유 및 분석 센터를 운영하고 있기 때문에 더 많은 일을 할 수 있습니다.

오바마 정부는 최근 사이버 보안 대책과 데이터 유출 신고를 더욱 육성하고 지원할 수 있는 더 많은 입법을 요구했습니다. 의료 서비스 업계는 기본적으로 규제가 매우 심한 업계입니다. 그럼에도 불구하고 이처럼 최근 더 많은 입법을 요구했다는 사실은 이번 계획에 의료 정보에 대한 보안 강화 내용을 포함시키는 것이 얼마나 중요한가를 보여준다고 할 수 있습니다.

이번 사건은 어쩌면 최초의 대규모 의료 서비스 정보유출 사건일지 모릅니다. 그러나 결코 마지막은 아닐 것입니다. 하지만 의료 업계가 신속하게 대응하고 정보 조직 및 민간 기업과 긴밀하게 협력한다면 앞서 소매업계의 전철을 반복하는 일은 피할 수 있을 것입니다.

의료 업계의 보안을 강화하는 방법에 대해 아래에서 자세히 알아보십시오.

원문: Healthcare Data in the Cross-Hairs