Hims 데이터 침해, 민감한 건강 기록 노출

텔레헬스 대기업 Hims, 의료 기록 노출 데이터 침해 피해

텔레헬스 기업 Hims & Hers Health가 기업이 보유할 수 있는 가장 민감한 개인정보 범주 중 하나인 보호 건강 정보(PHI)가 노출된 데이터 침해를 공식 확인했다. 이번 침해는 위협 행위자들이 해당 기업이 사용하는 제3자 고객 지원 플랫폼에 무단으로 접근하면서 발생했다. 노출된 데이터에는 고객 지원 티켓에 포함된 정보가 포함되어 있으며, 텔레헬스 서비스 특성상 이는 처방전, 의료 상담, 개인 건강 상태와 관련된 세부 정보를 의미한다.

해커 그룹 ShinyHunters가 이번 공격에 대한 책임을 주장하고 나섰다. 이 그룹은 사이버보안 업계에서 대규모 데이터 탈취 작전으로 잘 알려져 있으며, 최근 몇 년간 여러 고프로파일 침해 사건과 연루된 것으로 알려져 있다. 이들의 개입으로 인해 탈취된 데이터의 향후 사용처에 대한 즉각적인 우려가 제기되고 있으며, 여기에는 피해 사용자를 대상으로 한 협박, 다크웹 시장에서의 재판매, 또는 표적형 피싱 캠페인이 포함될 수 있다.

제3자 벤더가 의료 보안의 취약 고리가 되는 이유

이번 침해에서 가장 중요한 세부 사항 중 하나는 침해가 발생한 위치다. 이는 Hims의 핵심 인프라 내부가 아닌, 제3자 고객 지원 플랫폼을 통해 이루어졌다. 이러한 패턴은 점점 더 일반화되고 있으며, 그 결과 또한 갈수록 심각해지고 있다.

대기업들은 고객 지원, 청구, 데이터 저장 등의 기능을 전문 벤더에게 일상적으로 외주한다. 이러한 벤더 각각은 기업의 공격 표면이 확장되는 지점이 된다. 사용자가 텔레헬스 서비스에 가입할 때, 그들은 단순히 해당 기업에만 자신의 데이터를 맡기는 것이 아니다. 그 기업이 협력하는 모든 벤더, 계약업체, 소프트웨어 제공업체를 신뢰하는 것이기도 하다.

이는 의료 분야에서 특히 문제가 된다. 미국 법률에 따르면, PHI를 다루는 기업은 비즈니스 협력사와 벤더가 HIPAA 준수 기준을 충족하도록 보장해야 한다. 그러나 서류상의 규정 준수가 항상 실제적이고 효과적인 보안으로 이어지는 것은 아니다. Hims와 같이 자원이 풍부한 기업도 자체 방어에 막대한 투자를 하면서도, 보안 통제가 취약한 벤더를 통해 위험에 노출될 수 있다.

Hims 침해 사건은 고립된 사례가 아니다. 의료 및 텔레헬스 기업들은 보유 데이터가 그만큼 가치 있기 때문에 주요 표적이 되어 왔다. 의료 기록은 쉽게 변경할 수 없는 정보를 담고 있으며, 보험 사기, 신원 도용, 표적형 사회공학 공격에 활용될 수 있어 범죄 시장에서 신용카드 번호보다 훨씬 높은 가격에 거래된다.

이것이 당신에게 의미하는 것

Hims 또는 Hims & Hers 고객이라면, 고객 지원 채널을 통해 공유한 정보가 노출되었을 수 있다고 가정해야 한다. 여기에는 이름, 연락처, 지원팀과 나눈 의료 상담 또는 처방전 관련 세부 정보가 포함될 수 있다.

더 넓은 관점에서 보면, 이번 침해 사건은 중앙화된 시스템에 민감한 개인정보를 저장하는 데 따르는 위험을 일깨워주는 유용한 사례다. 텔레헬스 플랫폼은 편의성을 중심으로 설계되어 있으며, 그 편의성은 종종 공격자에게 매력적인 표적이 되는 방식으로 건강 데이터를 통합하는 것을 의미한다. 기업이 보유하는 데이터가 많을수록, 그리고 해당 데이터를 더 많은 벤더와 공유할수록, 문제가 발생했을 때의 잠재적 피해 범위는 더욱 넓어진다.

이것이 텔레헬스 서비스를 피해야 한다는 의미는 아니다. 많은 사람들에게 텔레헬스는 그렇지 않으면 얻기 어렵거나 비용이 많이 드는 의료 서비스에 접근할 수 있는 수단을 제공한다. 그러나 이는 어떤 디지털 건강 플랫폼에서든 공유하는 정보에 대해 신중하게 생각해야 한다는 것을 의미한다. 여기에는 기업의 주요 시스템 외부에서 저장되고 처리될 수 있는 지원 티켓 및 채팅 기능을 통한 정보도 포함된다.

건강 데이터 침해 후 실행 가능한 조치

Hims & Hers 또는 유사한 텔레헬스 플랫폼을 사용하고 있다면, 지금 당장 취해볼 만한 구체적인 조치들이 있다:

• 피싱 시도를 모니터링하라. 건강 관련 데이터를 입수한 공격자들은 이를 활용하여 매우 설득력 있는 피싱 메시지를 만들어내는 경우가 많다. 건강 상태, 약물, 또는 플랫폼과의 이전 상호작용을 언급하는 원치 않는 이메일이나 메시지에 대해 의심을 갖도록 하라.
• 계정을 확인하라. Hims 계정과 연결된 결제 수단에서 비정상적인 활동이 있는지 검토하라. 의심스러운 사항은 플랫폼과 금융 기관 모두에 신고하라.
• 신원 사기를 주시하라. 누군가 당신의 정보를 이용해 처방전이나 보험 혜택을 사기로 취득하는 의료 신원 도용은 발견하기 어려울 수 있다. 주요 신용 기관에 사기 경보를 등록하고, 본인이 받지 않은 서비스에 대한 보험 명세서를 모니터링하는 것을 고려하라.
• 지원 티켓에서 공유하는 정보를 제한하라. 앞으로는 어떤 기업의 고객 지원 채널이든 자체적인 보안 수준을 가진 제3자 벤더에 의해 운영될 수 있다는 점을 염두에 두라. 꼭 필요한 정도 이상의 세부 정보는 공유하지 않도록 하라.
• 침해 사건에 대해 지속적으로 정보를 파악하라. 사건의 범위와 신용 모니터링 서비스와 같은 피해 구제 조치에 관한 Hims의 공식 커뮤니케이션을 주시하라.

의료 기업의 데이터 침해 사건은 사라지지 않을 것이다. 더 많은 의료 서비스가 온라인으로 이동함에 따라, 디지털 플랫폼이 보유하는 민감한 의료 데이터의 양은 계속 증가할 것이다. 이러한 서비스를 신중하고 정보에 기반하여 이용하는 것이 일반 사용자가 활용할 수 있는 가장 효과적인 방어책 중 하나다. 누가 당신의 데이터를 보유하고 있는지, 그리고 그들이 그것을 어떻게 활용하는지를 이해하는 것이 스스로를 보호하기 위한 합리적인 출발점이다.