AI 요약
원격 의료 서비스 기업인 힘스앤허스(Hims & Hers)가 제3자 고객 지원 플랫폼을 통한 데이터 유출 사고를 공식 확인했습니다. 이번 침입은 2026년 2월 4일부터 2월 7일 사이에 발생했으며, 해커들은 직원을 속여 시스템 접근 권한을 얻어내는 '사회공학적 공격' 방식을 사용했습니다. 탈취된 데이터에는 고객의 성명, 연락처, 이메일 주소뿐만 아니라 상담 티켓에 포함된 기타 개인정보가 포함되어 있습니다. 회사 측은 환자의 공식 의료 기록은 유출되지 않았다고 주장하고 있으나, 고객 지원 티켓의 특성상 상담 과정에서 민감한 건강 정보나 계정 정보가 포함되었을 가능성이 배제할 수 없습니다. 최근 디스코드(Discord) 등에서 발생한 사례와 같이, 고객 지원 시스템을 노린 해킹이 기업의 민감한 데이터를 탈취하는 주요 경로로 부상하고 있습니다.
핵심 인사이트
- 침해 사고 기간: 2026년 2월 4일부터 2월 7일 사이 제3자 티켓팅 시스템 침입 발생.
- 공격 기법: 직원을 기만하여 접근 권한을 탈취하는 사회공학적(Social Engineering) 공격 수행.
- 법적 신고: 캘리포니아주 법(500명 이상 거주자 피해 시 신고 의무)에 따라 목요일 캘리포니아 검찰청에 유출 사실 보고.
- 주요 유출 데이터: 고객 성명, 이메일 주소 및 상담 티켓 내에 포함된 미지정 개인정보.
주요 디테일
- 힘스앤허스 대변인 제이크 마틴(Jake Martin)은 유출 데이터가 주로 성명과 이메일 주소를 포함하고 있다고 TechCrunch에 밝혔습니다.
- 회사 측은 공식 의료 기록(Medical Records)은 이번 보안 침해의 영향을 받지 않았다고 선을 그었습니다.
- 해커로부터의 금전적 요구(랜섬웨어 등) 여부에 대해서는 회사가 답변을 거부한 상태입니다.
- 과거 디스코드의 고객 지원 시스템 해킹으로 약 70,000명의 신분증 정보가 유출된 사례와 유사한 유형의 공격으로 분석됩니다.
- 상담 티켓 시스템은 보안이 비교적 취약하면서도 고객의 민감한 정보를 담고 있어 최근 해커들의 주요 표적이 되고 있습니다.
향후 전망
- 의료 상담 과정에서 공유된 민감한 정보가 포함되었을 가능성에 따라 추가적인 개인정보 노출 피해 및 2차 공격(피싱 등) 위험이 예상됩니다.
- 원격 의료 업계 전반에서 제3자 서비스 공급업체(SaaS)에 대한 보안 관리 감독 및 다중 인증(MFA) 강화 조치가 가속화될 전망입니다.