노르웨이의 남동 지역 보건 당국(RHA, Regional Health Authohrity)이 시스템을 해킹 당해, 약 290만 명 노르웨이 국민의 개인정보와 건강정보를 탈취 당했습니다. 노르웨이 전체 인구가 약 530만 명인 것을 생각하면, 절반 이상의 정보가 유출된 것입니다.

남동 보건 당국은 오슬로, 헤드마르크 등을 포함한 노르웨이 남동 지역의 병원을 관리하는 의료 기관입니다. 기관은 노르웨이의 헬스케어 분야 CERT 부서로부터 컴퓨터 시스템에 대한 경고를 받은 후, 정보 유출을 당했다고 발표했습니다.

도난 당한 정보가 환자의 안전에 어떤 영향을 끼쳤는지 아직 드러난 것은 없지만, 남동 보건 당국은 우선 해커에 의한 피해를 최소화하기 위한 조치를 취했다고 밝혔습니다.

노르웨이CERT의 관리자는 “아직 전체 사건을 파악하는 중이라 구체적인 공격의 규모를 밝히기는 어렵습니다. 다양한 증거를 찾기 위해 노력 중입니다”라며 여러 가능성을 열어두고 있다고 설명했습니다.

이와 관련해서 한 사이버보안 전문 매체는 이번 사건에서 1월 8일에 데이터 유출 사고 발생 후 15일에 보고해 신고가 늦었다는 점을 두고 조직이 EU의 GDPR 규정을 준수하는 것이 얼마나 어려운지 보도하기도 했습니다.

올 5월 시행 예정인 GDPR 규정은 정보 유출 발견 후 72시간 내에 감독 당국에 신고하도록 되어 있으며, 신고 지연에 대한 예외사항은 없습니다. EU의 회원국과 비즈니스를 하거나, EU 거주자의 개인정보를 다루는 경우 GDPR을 준수해야 하기 때문에 관련된 국내 기업들도 큰 영향을 받게 됩니다.
[유수현 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>