• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의료보험업계의 보안 불감증, 높아지는 각성의 목소리 2015.02.09

의료보험업계 해킹은 공공연하게 누워서 떡먹기?

해커들의 새로운 먹잇감으로 의료보험업계 ‘부상’


[보안뉴스 주소형] 의료보험업계에 보안강화가 절실해 보인다. 지난 주말에 발생했던 미국의 의료보험업체인 앤섬(Anthem)사의 정보 유출사건이 이 같은 인식에 불을 지폈다. 사실 종전부터 의료업계의 미약한 보안 의식을 경고하는 시각이 많았다. 특히 보안업계는 의료 정보의 경우 악용되기 쉬운데 반해 보안 의식과 투자가 부족하다고 경고해왔지만 이를 등한시했던 결과라고 꼬집었다.

 


신분도용전략업체인 아이던티티 쎄프트 리소스 센터(Identity Theft Resource Center)가 최근 3년간 조사한 결과에 따르면, 유출근원지로 의료보험업계가 지속적으로 부상해왔으며 지난해에는 유출근원의 43%를 기록하기도 했다. 이는 그만큼 의료보험업계가 해커들의 만만한 통로로 취급되고 있다는 것으로 풀이된다. 의료보험업계 해킹은 침투하기도 쉽고 해당 정보들은 악용성과 수익성이 높아 해커들에게는 금상첨화인 것. 해당 정보는 암시장에서 신용카드번호의 10배 이상의 가치로 평가되고 있다. 보험사기 등으로 활용도가 다양하기 때문이다.


이번에 발생한 ‘앤섬(Anthem)사 유출 사건’의 규모가 8,000만 명 이상이라는 예상이 나오면서 업계 최대일 것으로 점쳐지고 있다. 기존에 의료 관련 최대 규모 사건이 테네시(Tennessee)주의 CHS(Community Health Systems)에서 450만명의 의료 정보 유출 사건이었는데 그에 비해 갑자기 규모가 확 커진 것이다.


미국 정보보안업체 바스코(VASCO) 부사장은 “금융업계가 보안에 투자하고 실제로 보안강화가 실현되면서 해커들이 의료보험업계로 눈을 돌린 것”이라고 말했다. 하지만 여전히 의료보험업계는 사태의 심각성을 제대로 인식하지 못한 것으로 보인다.


IT 회사 콜파이어(Coalfire) 등의 임원인 앤드류 힉스(Andrew Hicks)는 "아직 많은 업체에서 HIPAA(미국 의료법 중 하나로 환자의 동의 없이 보호된 건강정보를 사용 및 공개하는 것을 금한다)와 HITRUST(건강정보신탁연합)를 등한시한다”며 “현재 HIPAA를 시행하고 있는 미국 인권청(Office for Civil Rights)은 인력도 모자라고 저예산이다. 따라서 이들은 유출 조사 및 예방 활동보다는 사건을 수습하기에 정신없는 상황이며 의료보험업계는 미국 인권청을 무시하는 경우가 많은데 이를 사기업에 위탁하는 등의 방법으로 보다 엄격하게 관리할 필요가 있다”고 말했다.  


이에 대해 보안업체 타세라(TaaSera)의 이반 세프린(Ivan Shefrin) 부사장은 “의료보험업계가 보안강화에 나서더라도 구조적으로 한계가 있다”며 “의료보험업계의 경우 병원, 의사, 보험중계사 등과 얽히고 설켜 있기 때문이다”고 설명했다. 이어서 그는 “대부분의 대형 회사들이 아무리 보험료 관리를 철저히 하더라도 그와 연결된 영세 업체들은 그럴 형편이 되지 못하는데 그럼 말짱 도루묵이다”라고 지적했다.


실예로 한 환자 기록 유출된 경위를 따져보니 환자 의료 기록 지원서를 담당하는 업체의 과실로 해킹당한 것으로 드러났다. “이러한 복잡한 관계 탓에 HIPAA가 보안강화에 앞장서기에 제한적이다”라고 세프린이 덧붙였다.

이에 따라 의료보험업계의 환골탈태를 촉구하는 목소리가 높다. 트립와이어(Tripwire)의 선임 보안연구원은 “의료보험업계는 전반적인 보안 관리를 SANS에 맡겨야 한다”며 “의료보험업계처럼 많은 양의 은밀한 정보를 다루는 업계는 따로 관리해야 한다”고 말했다. 


한편, 앤섬(Anthem)측은 공식 홈페이지에 고객들의 주소, 생년월일 등과 같은 일부 기본적인 정보 유출은 인정하면서도 신용카드 정보나 의료 기록 등과 같은 보험사기로 이어질 수 있는 정보들은 아직까지 유출이 확실하지 않다고 선을 그었다. 이와 더불어 고객들에게 심심한 사과의 말을 전하고 해당 사건을 FBI에 알리고 정확한 진상 규명과 피해 범위에 대해 조사를 진행하고 있다고 밝혔다.  

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>