범인, 천만 달러 ‘몸값’ 요구하는 메시지 남겨

최근 국내에서도 의료기록에 대한 보안의 중요성이 논의되고 있는 가운데 지난주 미국에서 또다시 대규모의 환자 기록이 탈취된 것으로 알려져 충격을 주고 있다.

워싱턴포스트(Washington Post) 온라인판은 지난 4일(현지 시간), 온라인 관련 전문 블로그 시큐리티픽스(SecurityFix)를 통해 “해커가 버지니아주(州) 보건국 데이터베이스를 침입해 금품을 요구하고 있다”고 전했다.

이에 따르면 지난 주 해커가 버지니아주의 처방 모니터링 프로그램(Prescription Monitoring Program : PMP) 사이트에 침입해 8백만 명 이상의 환자 기록을 삭제하는 한편 천만 달러의 금품을 요구하는 내용이 담긴 사이트의 홈페이지로 대체해둔 것으로 드러났다. PMP 사이트는 제약사들이 처방 약물 남용을 추적하기 위해 이용하는 사이트로, 의료 기록과 처방 기록들 등의 민감한 정보를 포함하고 있다.

이로 인해 버지니아주 보건국의 웹사이트와 버지니아주 PMP의 로그인 사이트는 지난 화요일 오전 내내 다운된 상태였으나 같은 날 오후에는 다시 이용할 수 있게 됐지만 현재도 접속이 원활하지는 못 하다.

이에 앞서 이번 사건을 가장 먼저 전한 것으로 알려진 유출 문서에 관한 온라인 정보센터 위키리크(Wikileaks.org)는 지난 3일(현지 시간), “지난 4월 30일, 버지니아주 PMP 사이트가 천만 달러의 금품을 요구하는 내용으로 바뀌었다”고 전하며 범인이 남긴 메시지의 화면 캡처를 포스팅한 것으로 알려졌다.

위키리크가 전하는 바에 따르면 범인이 남긴 메시지는 “나는 지금 8,257,378명의 환자 기록과 총 35,548,087건의 처방전을 갖고 있다. 암호화 백업을 만들고 원본은 삭제했다. 백만 달러면 기꺼이 패스워드를 보내주겠다”고 주장하고 있다.

워싱턴포스트지는 버지니아주 보건국의 당국자가 “연방정부가 수사 중인 범죄가 있으며, (버지니아주) 당국은 정보보안을 매우 중요하게 생각하고 있다”는 말로 해커의 주장에 관한 내용에 대한 구체적인 언급을 피하는 한편 FBI에 사건을 의뢰했다고 전했다.

아울러 버지니아주 보건국(Virginia┖s Department of Health Professions)은 홈페이지 공지를 통해 “버지니아주 보건국은 현재 컴퓨터와 이메일 시스템에 영향을 끼치는 기술적인 어려움을 겪고 있다. 불편을 끼쳐 죄송하다”고 밝혔다.

한편, 현지 언론들은 버지니아주 PMP 사이트를 해킹한 범인이 지난해 10월 의료 관리 업체 익스프레스 스크립츠(Express Scripts)를 협박했던 범인과 유사한 패턴을 보이고 있다고 보도했다. 당시 익스프레스 스크립츠사는 네트워크 해킹으로 탈취한 수백만 명의 고객 기록을 유출시키겠다며 금품을 요구하는 해커의 협박을 받았으나 오히려 백만 달러의 현상금을 내걸어 적극적으로 범인 체포에 나선 바 있다.

이 외에도 플로리다 치의대의 홈페이지가 해킹 돼 1990년~ 2008년 사이의 진료 기록 등이 유출되는 등 미국은 지난해부터 대규모의 의료 정보 유출 사건에 골머리를 썩고 있다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>