“코드 결함 수정 완료”

뉴질랜드 최대 환자 포털 앱인 ManageMyHealth 운영사가 최근 발생한 해킹 사건과 관련해, 보안 취약점이 수정됐고 시스템 보안이 한층 강화됐다고 밝혔다.

ManageMyHealth는 지난주 플랫폼에서 비인가 접근(unauthorised access) 이 확인됐다고 공식 발표했으며, 전체 등록 이용자 약 180만 명 중 6~7%가 영향을 받았을 가능성이 있는 것으로 추정하고 있다.

운영사는 4일 성명을 통해 해커가 접근한 범위는 앱 전체가 아닌 ‘Health Documents(건강 문서)’ 기능 일부에 한정됐다고 설명했다.

현재 외부 사이버 보안 전문가로부터 코드 결함이 완전히 수정됐다는 독립적인 검증을 받았으며, 침해된 것으로 의심되는 문서와 사용자 목록도 모두 파악한 상태라고 전했다.

회사 측은 “포렌식 분석 결과가 확정되는 대로, 개인정보보호법(Privacy Act)에 따라 PHO 및 GP와 협력해 영향을 받은 이용자들에게 정확한 정보를 개별적으로 안내할 예정”이라고 밝혔다.

이번 사고의 원인이 된 보안 공백(specific gaps) 은 이미 차단됐고, 로그인 보안도 대폭 강화됐다. 단시간 내 과도한 접근 시도를 제한하는 장치가 추가됐으며, 사용자들은 비밀번호 재설정은 물론 2단계 인증(2FA) 과 생체인증을 포함한 보안 옵션을 선택할 수 있게 됐다. 또한 Google·Microsoft 인증 앱을 통한 인증도 지원된다.

운영사는 이용자들에게 “본인이 인지하지 못한 의료비 청구나 보험 청구, 의료기관의 이상한 안내문 등을 주의 깊게 살펴보고, 이상 징후가 있을 경우 즉시 해당 기관에 연락해 달라”고 당부했다.

한편 시메온 브라운 보건부 장관은 “이번 사건은 매우 심각한 개인정보 침해 사안”이라며, 정부 기관들이 ManageMyHealth와 긴밀히 협력해 피해 범위와 대응 방안을 점검하고 있다고 밝혔다.

그는 “현재까지 Health NZ의 시스템이나 ‘My Health Account’가 침해됐다는 증거는 없다”고 덧붙였다.

정부는 사건 대응을 위해 전담 사고관리팀을 구성했으며, 보건부로부터 독립적인 조사(review) 가능성에 대한 자문도 요청한 상태다.

공공서비스노조(PSA)는 이번 사건을 계기로 공공 보건 분야에서 IT 전문가 감축의 위험성을 재차 경고했다.

PSA 사무총장 플뢰르 피츠시먼스는 “2021년 와이카토 병원 랜섬웨어 사태의 교훈을 잊은 채 디지털 전문 인력을 줄인 결과”라며 “보건 데이터 시스템을 소홀히 다루는 것은 시한폭탄과 같다”고 비판했다.

ManageMyHealth는 현재 경찰, Health NZ, 개인정보보호위원회와 협력 중이며, 피해 가능성이 있는 이용자들을 지원하기 위해 전용 0800 상담번호와 온라인 헬프데스크를 개설할 예정이라고 밝혔다.

#ManageMyHealth #개인정보유출 #사이버보안 #의료정보보호 #뉴질랜드보건 #헬스IT #해킹사고 #환자데이터 #교민뉴스