Offcanvas

CSO / 라이프 / 보안 / 빅데이터 | 애널리틱스

신용카드 도난보다 개인 의료정보 유출이 더 위험한 이유

2015.08.06 Taylor Armerding  |  CSO
개인의료정보는 사이버범죄자들이 좋아할만한 먹이감이다. 신용카드는 바로 해지하거나 바꿀 수 있지만 의료정보는 그렇지 않다. 게다가 의료정보에는 개인의 신상정보가 상세하게 포함돼 있다.


이미지 출처 : Thinkstock

신용카드 데이터는 더 이상 해커들에게 금광이 아니다. 가용 기간이 일반적으로 짧을 뿐 아니라 예전만큼 값어치가 있지도 않기 때문이다.

하지만 사이버 범죄자들의 적응력은 뛰어나다. 레드스핀(Redspin)의 CEO 대니얼 버거에 따르면, 해커들은 돈 냄새를 잘 맡는다. 그들은 적은 노력으로 큰 수익을 낼 수 있는 분야에 뛰어드는 것도 바로 이 때문이다.

그리고 사람들이 자발적으로 의사, 병원, 보험사에 내는 개인 의료정보 데이터는 점점 늘어나고 있다.

신원 도난 자원 센터(Identity Theft Resource Center)는 지난 1월 보고된 정보 유출에 대해 의료 분야가 2014년 42.5%를 차지하는 등 3년 연속 가장 높은 비중을 차지했다고 밝혔다. 여러 보고서들에 따르면 2009년 유출 공지 법률(Breach Notification Rule)이 연방정부의 HITECH(Health Information Technology for Economic and Clinical Health) 법률의 일부로 발효된 이래 1억 2,000만 명의 미국인 개인 의료 정보가 탈취당했다고 한다.

그 중 대부분인 8,000만 명의 정보는 올해 1월 민영 의료보험사 앤썸(Anthem)의 단일 유출사고로 탈취되었다. 그러나 이전에도 몇 백만 명 수준의 사고들은 있었다. 커뮤니티 헬스 시스템(Community Health Systems)은 2014년 4월부터 6월까지 450만 명의 의료 정보 유출을 신고했고, 프리메라 블루 크로스(Premera Blue Cross) 는 올 3월 1,100만 명의 의료 정보 유출을 신고했다.


의료 정보 도난이 발생하는 가장 확실한 이유는 바로 그 가치 때문이다. 올해 초 AP의 보도에 따르면, 사이버범죄 시장에서 의료 데이터의 가치가 여러 가지 이유로 도난 신용카드 가치의 10배에 달한다.

• 신용카드는 신속하게 해지하거나 교체할 수 있다. 개인 의료 정보에는 이름, 연령, 성별, 주소, 사회보장번호, 진단 코드, 보험 정보, 개인 의료 내역 등이 포함되어 있는데 이 정보

는 바꿀 수 없다.

• 신용카드 데이터는 기본적으로 소매 구매에만 유용하다. 하지만 개인 의료 정보는 가짜 신분증을 만들어 의료 장비나 약품을 구입해 사기로 보험 수가 청구에 쓰일 수 있다.
 
인터페이스 메디컬 센터(Interfaith Medical Center)의 IT인프라 담당 이사인 크리스토퍼 프렌츠는 “도난 당한 신용카드 번호가 사기에 악용될 경우 수 천 달러 가량의 피해를 입힐 수 있다. 하지만 도난 당한 보험 신원은 심장우회술 등으로 수 십만 달러의 피해를 입힐 수 있다”고 이야기했다.

이러한 상세한 개인 데이터는 대상화된 이메일 혹은 스피어 피싱 공격을 더욱 쉽고 효과적으로 만들 수 있다. 그리고 민감하고 사적이며 잠재적으로 당황스러운 의료정보가 스파이활동이나 협박에 악용될 수도 있다.


DICOM 그리드의 CEO 모리스 패너(왼쪽 사진)는 이를 ‘리치 데이터(rich date)’라고 부르고 있다. “의사들은 사람을 전체적으로 파악하고 치료하고 싶어하는데 이 때문에 많은 데이터를 받게 된다. 그리고 거기에 모든 필수 신용과 보험 정보가 보험 청구와 변제용으로 추가된다”고 그는 말했다.

개인 의료정보는 더 가치가 높을 뿐 아니라 비교적 탈취하기도 쉽다. 개리 데이비스는 최근 맥아피 블로그에서 이를 ‘해커들에게는 손쉬운 먹잇감’이라고 이야

기했다.
 
대부분의 전문가들은 최근 의료 데이터의 보안에 대한 인식이 훨씬 커졌는데도 이러한 의견에 동의했다. 연방 HIPAA(Health Insurance Portability and Accountability Act)와 HITECH 법률은 보안 정책, 통제, 기타 보호조치를 강제하고 있다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.