환자 데이터 앱 ManageMyHealth 운영사는 최근 발생한 해킹 사고와 관련해, 외부 IT 보안 전문가로부터 보안 취약점이 모두 수정됐다는 독립적인 확인을 받았다고 밝혔다.

ManageMyHealth는 지난주 자사 플랫폼에서 무단 접근(unauthorised access)이 발생한 보안 사고를 확인했다고 발표했다. 전체 등록 사용자 약 180만 명 가운데 6~7%가 영향을 받았을 가능성이 있는 것으로 추정된다.

회사 측은 토요일 성명을 통해, 해커들이 앱 전체가 아닌 ‘건강 문서(health documents)’ 일부에만 접근했으며, 현재 해당 문서가 접근됐을 가능성이 있는 사용자들의 전체 명단을 확보했다고 밝혔다. 영향을 받은 문서에 대한 포렌식 분석 결과는 수일 내 확인될 예정이다.

회사는 포렌식 결과 확인과 함께 PHO(1차 의료 조직) 및 GP(일반의)들과 협력해 개인정보보호법에 부합하는 방식으로 정확한 정보를 제공한 뒤, 영향을 받은 사용자들에게 순차적으로 연락할 예정이라고 설명했다.

해커의 접근을 가능하게 했던 구체적인 보안 취약점은 이미 파악돼 모두 차단됐으며, 해당 수정 사항은 외부 사이버 보안 전문가에 의해 테스트 및 검증을 완료했다고 덧붙였다.

또한 로그인 보안이 강화돼 짧은 시간 내 과도한 접근 시도가 제한되었으며, 사용자들은 비밀번호 재설정 또는 이중 인증(2FA) 기능을 활성화해 보안을 강화할 수 있다고 안내했다.

현재 Google 및 Microsoft 인증 앱, 생체 인증 등도 사용 가능하다.

회사 측은 사용자들에게 “알 수 없는 의료 청구서나 보험 청구, 의료기관으로부터의 예상치 못한 연락 등 이상 징후가 있을 경우 즉시 해당 기관에 연락해 달라”고 당부했다.

정부 및 보건 당국 대응

앞서 토요일 오전, 보건부 장관 시메온 브라운은 정부 기관들이 이번 침해 사고의 범위를 명확히 파악하고 환자 개인정보 보호를 위해 ManageMyHealth와 협력 중이라고 밝혔다.

그는 “이는 매우 우려스러운 환자 데이터 침해 사고”라며, 보건부가 ManageMyHealth와 긴밀히 협력해 문제를 적절히 해결하고 있다고 말했다.

다만 “ManageMyHealth는 별도의 시스템을 사용하고 있어, My Health Account를 포함한 Health NZ 시스템이 침해됐다는 증거는 현재까지 없다”고 설명했다.

브라운 장관은 정오 무렵 사고 대응 관리팀(incident management team)이 구성됐으며, 이번 사건에 대한 독립적 조사 옵션에 대한 자문을 요청했다고 밝혔다.

노조 “IT 인력 감축의 위험성 보여주는 사례”

한편 Public Service Association은 이번 사건이 정부 부처의 IT 인력 감축에 대한 경고라고 지적했다.

PSA 사무총장 플뢰르 피츠시몬스는 “2021년 와이카토 병원 랜섬웨어 공격에서도 같은 교훈을 얻었음에도, 정부는 디지털 서비스를 담당하던 전문가 인력을 감축했다”며, “데이터 시스템을 가볍게 다루기에는 위험이 너무 크다. 이는 시한폭탄과 같다”고 비판했다.

추가 지원 위한 전용 전화와 헬프데스크 개설 예정

ManageMyHealth는 현재 경찰, 보건부, 개인정보보호위원회와 협력하고 있으며, 영향을 받은 환자들을 지원하기 위해 전용 0800 무료 전화번호와 온라인 헬프데스크를 개설할 예정이라고 밝혔다.