'Uber for nurses' exposes 86K+ medical records, PII
'Uber for nurses' exposes 86K+ medical records, PII
Exclusive: Non-password-protected, unencrypted 108GB database … what could possibly go wrong
www.theregister.com
- 사건 개요
- 헬스테크 기업 ESHYFT의 AWS S3 버킷이 비밀번호 없이 공개 설정되어 86,341건의 민감한 간호사 정보가 유출됨
- 보안 연구원 Jeremiah Fowler가 2025년 1월 4일 해당 사실을 발견, 이틀 후 기업에 통보하였으나 한 달 이상 조치 지연
- 3월 5일에야 S3 버킷이 비공개 처리됨
- 유출된 정보 항목
- 얼굴 사진, 의료 ID가 포함된 사용자 프로필 이미지
- 스캔된 운전면허증, 사회보장카드, 이력서, 자격증
- 업무 스케줄 CSV, 시프트 기록표, 의료진 배정 계약서
- 진단서, 처방전, 장애보험 청구서 등 의료 관련 민감정보
- 파일 명칭은
timecards,disabled users,user addresses등으로 공격자가 식별 용이
- 기술적 취약점 분석
- S3 버킷의 공개 접근 설정 및 암호화 미적용
- URL 기반 접근 방식으로 인해 전체 데이터 열람 가능
- 백엔드 저장소와 프론트엔드 서비스 간 인증 연동 미흡
- 사용자 포털 기능 구현을 위해 클라우드 스토리지 전체를 공개한 구조적 설계 결함 존재
- 보안 위협 및 파장
- 의료 분야는 랜섬웨어 공격의 주요 표적이며, 해당 정보는 신원 도용·사기·병원 협박에 활용 가능
- 유출된 데이터는 다크웹 거래 위험이 높으며, 병원 및 인력 공급사 양쪽 모두 법적 책임 및 피해 노출
- CSV 파일 하나에 80만 건 이상의 근무 기록이 포함되어 있어 심각한 개인정보 침해 발생
- 보안 권고
- 민감정보는 암호화 저장 후 인증 기반 토큰 방식으로 복호화하여 사용자에게 제공되어야 함
- 각 문서는 사용자별로 접근 권한이 설정되어야 하며, 시간 제한이 있는 인증 토큰 사용 필수
- 보안 개발 원칙(Secure by Design) 하에 앱 설계부터 스토리지 접근제어 모델 내재화 필요
- 개발 비용이 높더라도 중앙저장소 보안 설계 강화가 필수적이라는 인식 확산 필요
- 결론
- ESHYFT는 의료기관의 인력 부족을 해결하는 유용한 서비스를 제공하고 있음에도 불구하고, 보안 측면에서의 준비 부족으로 인해 사회적 신뢰 훼손과 개인정보보호법 위반 우려 초래
- 헬스테크, SaaS 기업은 클라우드 인프라 보안 구성 자동화 및 접근제어 강화를 기반으로 지속적 보안 점검 체계(CSPM, DLP 등)를 구축해야 함
- 정부 및 규제기관 차원의 의료 플랫폼 대상 보안관리 강화 및 정보주체 보호조치 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 개인정보위, 카카오 '카나나' AI 서비스 사전적정성 검토 결과 의결 (1) | 2025.04.15 |
|---|---|
| 생성형 AI의 세 가지 고질적 문제와 산업계의 대응 전략 (0) | 2025.04.14 |
| XCSSET macOS 악성코드 변종 분석 보고서 (2025년 3월 기준) (0) | 2025.04.14 |
| 위협 행위자의 SIM 스와핑 공격 및 보안 우회 수법 고도화 (0) | 2025.04.14 |
| Ebyte 랜섬웨어, 고급 암호화 기법으로 Windows 사용자 위협 (0) | 2025.04.14 |