뉴질랜드 최악의 사이버 보안 사고 중 하나로 평가

뉴질랜드 최대 규모의 개인 건강 포털 ‘매니지 마이 헬스(Manage My Health, MMH)’가 랜섬웨어 공격을 받아 약 12만6000명의 환자 정보가 유출되면서, 이번 사건이 뉴질랜드 역사상 가장 심각한 사이버 보안 사고 중 하나로 평가되고 있다.

해커들은 약 40만 건 이상의 의료 문서를 탈취했으며, 회사가 6만 달러의 몸값을 지불하지 않을 경우 이를 공개하겠다고 위협했다.

이 사건으로 정부는 보안 시스템이 충분했는지, 향후 어떤 개선이 필요한지에 대한 공식 검토에 착수했다.

MMH는 현재 법원을 통해 환자 정보가 공개·유포되는 것을 막기 위한 금지 명령을 신청했으며, Health NZ, 보건부, 개인정보보호위원회, 일반의 단체들과 협력해 피해 최소화에 나서고 있다.

증가하는 사이버 범죄 위협

국가사이버보안센터(NCSC)의 최신 보고서에 따르면, 2024/25 회계연도에 발생한 사이버 사고의 40% 이상이 금전적 목적의 범죄와 연관돼 있으며, 이는 전년도 대비 두 배 이상 증가한 수치다.

보고서는 미흡한 보안 관리와 패치되지 않은 취약점이 해커들에게 “쉬운 침입 경로”를 제공하고 있다고 경고했다.

특히 인공지능(AI)의 발전으로 기술적 전문성이 낮아도 정교한 공격이 가능해지면서, 기존 보안 체계가 압도당할 위험이 커지고 있다는 지적도 나왔다.

NCSC는 랜섬 지불을 권장하지 않으며, 실제로 몸값을 지불해도 데이터가 복구되지 않거나 추가 협박을 받는 경우가 많다고 강조했다.

과거 주요 사이버 공격 사례

뉴질랜드는 이미 여러 대형 사이버 공격을 경험했다. 2021년 와이카토 DHB 해킹은 병원 시스템을 마비시키고 수천 명의 환자·직원 정보가 다크웹에 유출되는 사태로 이어졌다.

2022년에는 외주 IT업체 머큐리 IT가 공격받아 보건 및 사법 관련 민감한 기록이 위험에 노출됐다.

국외 사례로는 2017년 전 세계를 강타한 ‘워너크라이(WannaCry)’ 공격, 2024년 크라우드스트라이크 업데이트 오류로 인한 글로벌 IT 마비 사태도 있다.

금융·항공 분야에서도 라티튜드 파이낸셜, 콴타스, 닛산, 스퀴럴(Squirrel) 등 다수의 기업이 고객 정보 유출 피해를 입었다.

또한 2020년 뉴질랜드 증권거래소(NZX)는 대규모 디도스(DDoS) 공격으로 며칠간 거래가 중단됐으며, 2024년에는 중국 정부와 연계된 해킹 조직이 뉴질랜드 의회를 표적으로 삼았다는 의혹도 제기됐다.

교훈과 과제

전문가들은 이번 MMH 사건이 보건 분야를 포함한 공공·민간 부문 전반에서 사이버 보안 투자가 시급하다는 점을 다시 한 번 드러냈다고 지적한다.

다중 인증(MFA), 정기적인 백업, 신속한 대응 체계 등 기본적인 보안 수칙만으로도 피해를 크게 줄일 수 있었던 사례도 보고됐다.

의료 정보는 가장 민감한 개인정보 중 하나인 만큼, 정부와 기업이 협력해 보안 기준을 강화하고, 국민 신뢰를 회복하는 것이 향후 가장 중요한 과제로 떠오르고 있다.

#사이버보안 #ManageMyHealth #개인정보유출 #뉴질랜드해킹 #랜섬웨어 #의료정보보안 #NCSC #디지털안전 #교민뉴스