AI 요약
미국 내 최대 규모의 공공 의료 시스템인 뉴욕시 보건복지공사(NYCHHC)가 약 3개월간 지속된 데이터 침해 사고로 인해 최소 180만 명의 개인 정보가 유출되었다고 발표했습니다. 이번 공격은 익명의 제3자 공급업체 네트워크를 통해 시작되었으며, 2025년 11월부터 2026년 2월 2일 탐지될 때까지 해커들이 시스템 내 파일을 복제한 것으로 드러났습니다. 유출된 정보에는 이름, 의료 기록, 보험 정보뿐만 아니라 사회보장번호(SSN), 여권, 운전면허증 등 민감한 신원 정보와 정밀 지오로케이션(위치) 데이터가 포함되었습니다. 특히 지문과 손바닥 지문 같은 생체 인식 데이터가 포함되어 있어 피해자들이 평생 바꿀 수 없는 보안 위협에 직면하게 되었다는 점이 심각한 문제로 지적되고 있습니다. NYCHHC는 미국 보건복지부(HHS)에 이 사실을 보고했으며, 이는 올해 발생한 의료 관련 데이터 유출 사고 중 최대 규모 중 하나로 기록될 전망입니다.
핵심 인사이트
- 최소 180만 명 이상의 환자 및 직원의 데이터가 유출되었으며, 이는 올해 의료 업계에서 보고된 가장 큰 규모의 침해 사고 중 하나입니다.
- 해커들은 2025년 11월부터 2026년 2월까지 약 3개월 동안 NYCHHC 시스템에 무단 접근하여 파일을 복제했습니다.
- 유출 데이터에는 지문(fingerprints) 및 손바닥 지문(palm prints)과 같이 평생 변경할 수 없는 고도의 민감 생체 정보가 포함되었습니다.
- NYCHHC는 미국 최대의 공공 의료 시스템으로, 대다수가 무보험자이거나 메디케이드(Medicaid) 등 주 정부 혜택을 받는 뉴욕 시민들에게 서비스를 제공합니다.
주요 디테일
- 이번 침해 사고는 NYCHHC 내부 시스템이 아닌, 이름을 밝히지 않은 '제3자 공급업체(third-party vendor)'의 보안 취약점을 통해 발생했습니다.
- 유출된 신원 정보에는 사회보장번호(SSN), 여권 번호, 운전면허증 정보가 포함되어 있어 광범위한 신원 도용 위험을 초래합니다.
- 사용자가 업로드한 신분증 사진 등에 포함된 '정밀 지오로케이션(precise geolocation)' 데이터도 함께 유출되어 촬영 당시의 정확한 위치까지 파악될 위험이 있습니다.
- 사고 탐지 이후 NYCHHC 웹사이트가 일시적으로 오프라인 상태가 되었으며, 이로 인해 외부와의 소통에 차질이 빚어지기도 했습니다.
- 이번 사건은 올해 초 5,000명 이상의 정보가 유출된 마약 남용 문제 전국 협회(NADAP) 관련 사고와는 별개의 독립적인 사건입니다.
- FBI의 2025년 연례 사이버 범죄 보고서에 따르면, 의료 기관은 방대한 민감 데이터를 보유하고 있어 랜섬웨어 및 금융 목적 해커들의 최우선 타깃이 되고 있습니다.
향후 전망
- 생체 정보 유출의 특성상 피해자들에게 미치는 장기적 위협에 대한 법적 책임 공방과 대규모 손해배상 청구 소송이 이어질 것으로 예상됩니다.
- 의료 기관의 공급망 보안(Supply Chain Security)에 대한 규제 당국의 감사가 더욱 엄격해질 것이며, 공급업체 선정 시 보안 기준이 강화될 전망입니다.