오라클 헬스(Oracle Health)에서 발생한 대규모 사이버 보안 사고로 미국 내 복수의 의료기관 환자 정보가 유출됐다. 이번 사고는 오라클이 인수한 서너(Cerner)의 레거시 서버에서 시작됐으며, 해당 서버는 아직 오라클 클라우드로 이전되지 않은 상태였다.
오라클 헬스는 2025년 2월 20일경, 이전되지 않은 서너의 데이터 마이그레이션 서버에서 무단 접근이 발생했음을 인지했다고 밝혔다. 위협 행위자는 1월 22일 이후 탈취된 고객 인증 정보를 이용해 해당 서버에 침입했고, 환자 정보를 외부 서버로 복사했다. 복사된 데이터에는 전자건강기록(EHR)에 포함된 환자 정보가 포함된 것으로 추정된다.
오라클 헬스는 공식 발표를 하지 않았으나, 내부 통신과 유출 관련 병원 관계자들과의 대화에서 환자 정보가 실제로 유출된 사실이 확인됐다. 이번 침해의 영향을 받은 병원과 구체적인 유출 범위는 아직 공개되지 않았다.
이번 공격의 주체는 'Andrew'라는 이름을 사용하는 단독 위협 행위자로, 알려진 랜섬웨어나 협박 조직과는 관련이 없는 것으로 알려졌다. 그는 탈취한 정보를 유출하지 않는 대가로 다수의 병원에 수백만 달러 상당의 암호화폐를 요구하고 있으며, 압박 수단으로 해당 사건을 다룬 웹사이트까지 운영 중이다.
오라클 헬스는 병원 측에 환자 개별 통지는 하지 않겠다고 통보했고, 대신 각 의료기관이 HIPAA(미국 건강보험이동성과 책임에 관한 법률)에 따라 유출 사실을 평가하고 알릴 의무가 있는지 판단하라고 안내했다. 피해자 식별을 지원하고 통지용 서식은 제공하겠다고 했지만, 환자에게 직접 통지하는 업무는 맡지 않겠다는 입장이다.
그러나 오라클의 대응에 대해 의료기관들은 심각한 불만을 표출하고 있다. 사건에 대한 공식 서한이 오라클 로고나 서식 없이 일반 용지로 발송됐으며, 공식 입장문도 발표되지 않았다. 고객들과의 커뮤니케이션도 이메일이 아닌 전화로만 진행하도록 해 문서 기록이 남지 않아 대응에 어려움을 겪고 있다. 통지문에는 오라클 헬스의 부사장 겸 총괄 매니저인 세마 버마(Seema Verma)의 서명이 있었지만, 기업 차원의 책임 있는 대응으로 보기 어렵다는 지적이 나온다.
오라클은 신용정보 모니터링 서비스와 환자 통지를 위한 발송 대행 업체 비용을 지원하겠다고 밝혔지만, 직접 통지를 해주지는 않겠다고 밝혔다.
이 사건은 최근 오라클 클라우드의 연동 로그인 서버가 해킹됐다는 또 다른 의혹이 제기된 가운데 발생해 더 큰 파장을 일으키고 있다. 당시 한 위협 행위자는 LDAP 인증 데이터 600만 건을 탈취했다고 주장했으며, 이를 증명하기 위해 이메일 주소가 포함된 파일을 공개했다. 오라클은 이 주장에 대해 해킹 사실을 부인했지만, 일부 고객에게 제공된 샘플 데이터는 실제 정보로 확인됐다.
현재 미국 연방수사국(FBI)이 이번 오라클 헬스 사건에 대한 수사에 착수한 상태다.
사이버보안 전문가들은 이번 사고가 구형 시스템의 보안 취약성과 자격 증명 관리 부실에서 비롯된 전형적인 사례라고 지적했다. 사용자 인증 정보가 탈취돼 여러 기관의 데이터가 유출된 점은, 강력한 접근 제어와 정기적인 인증 정보 점검이 얼마나 중요한지를 보여준다고 말했다. 전문가들은 다중 인증(MFA) 도입을 필수적으로 고려해야 하며, 레거시 시스템은 신속하게 클라우드 환경으로 이전하고 최신 보안 업데이트를 적용해야 한다고 강조했다. 또한 의료기관은 정기적인 보안 점검과 피싱 등 사회공학적 공격에 대한 직원 교육을 병행해 보안 대응 능력을 강화해야 한다고 조언했다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[김경환 변호사의 디지털법] 〈49〉챗GPT의 잘못된 정보 생성은 개인정보를 침해하는가](https://img.etnews.com/news/article/2025/04/01/news-p.v1.20250401.62769676c8874389bf3ba43cafd511d1_P3.jpg)
![[단독] HUG 전산오류에 대출 안나와 이사 날 발 동동…벌써 몇번째?](https://newsimg.sedaily.com/2025/03/31/2GQGLDP5YO_1.jpeg)
