본문으로 건너뛰기
← 뉴스 목록으로
CRITICAL정보유출

Change Healthcare1억 9,000만 명, 미국 역대 최대 의료 데이터 유출

5분 읽기
#Change Healthcare#의료데이터#랜섬웨어#ALPHV#BlackCat#UnitedHealth

미국인 절반 이상의 의료 기록이 유출되었습니다

2024년 2월 21일, 미국 최대 의료 청구 처리 회사인 Change Healthcare에서 랜섬웨어 공격이 감지되었습니다. 모회사 UnitedHealth Group이 2025년 1월 공식 확인한 피해 규모는 1억 9,000만 명입니다. 미국 인구의 약 57%에 해당합니다.

이전 최대 기록이던 2015년 Anthem 사건(7,880만 명)의 2.4배입니다. Fierce Healthcare 보도에 따르면, 미국 의료 분야 역대 최대 데이터 유출 사건으로 확정되었습니다.

MFA가 없었습니다

Cybersecurity Dive와 HIPAA Journal의 분석에 따르면, 공격자는 Change Healthcare의 Citrix 원격 접속 서비스를 통해 침입했습니다. 이 서비스에는 다중 인증(MFA)이 적용되어 있지 않았습니다.

공격자는 2024년 2월 17일부터 20일까지 — 4일간 — 내부 시스템에 자유롭게 접근했습니다. 21일 랜섬웨어가 실행된 후에야 침입이 감지되었습니다. MFA는 추가 비용이 거의 들지 않는 기본 보안 조치입니다. 이것이 빠져 있었다는 사실은 사건의 규모만큼이나 충격적입니다.

2,200만 달러를 냈지만 데이터는 돌아오지 않았습니다

공격을 수행한 것은 ALPHV(BlackCat이라고도 불리는) 랜섬웨어 그룹이었습니다.

UnitedHealth Group은 데이터 공개를 막기 위해 2,200만 달러의 몸값을 비트코인으로 지불했습니다. 그러나 ALPHV는 돈을 받은 뒤 실제 공격을 수행한 협력자(affiliate)에게 분배금을 주지 않고 잠적했습니다 — 이른바 **탈출 사기(exit scam)**입니다.

분배금을 받지 못한 협력자는 RansomHub이라는 또 다른 랜섬웨어 그룹과 손잡고 Change Healthcare를 한 번 더 협박했습니다. 이중 갈취입니다. UnitedHealth은 추가 지불을 거부했지만, 유출된 데이터는 여전히 범죄자들의 손에 있습니다.

24억 5,700만 달러의 비용

UnitedHealth Group의 2024년 3분기 실적 보고에 따르면, 이 사건의 총 비용은 24억 5,700만 달러(약 3조 3,000억 원)에 달합니다. 몸값 2,200만 달러는 전체 비용의 1%도 되지 않습니다.

나머지는 시스템 복구, 고객 통지, 신용 모니터링 서비스, 법적 비용, 의료 청구 처리 중단으로 인한 매출 손실 등입니다. 네브래스카 주 법무장관은 Change Healthcare를 상대로 소송을 제기했고, 연방 보건복지부(HHS)와 여러 주 법무장관의 조사가 진행 중입니다.

의료 데이터는 왜 특히 위험한가

유출된 정보에는 이름, 주소, 생년월일 같은 기본 개인정보뿐 아니라 **건강보험 번호, 진료 기록, 처방전 정보, 사회보장번호(SSN)**가 포함되어 있었습니다.

신용카드 번호는 바꿀 수 있습니다. 비밀번호도 재설정할 수 있습니다. 하지만 진료 기록과 사회보장번호는 변경이 사실상 불가능합니다. 의료 데이터가 한 번 유출되면 피해자는 평생 신원 도용 위험에 노출됩니다.

Chief Healthcare Executive의 보도에 따르면, 2025년에도 4,250만 명이 의료 사이버 공격의 영향을 받았으며, 공격의 80% 이상이 병원이 아닌 외주 업체와 비즈니스 파트너를 겨냥하고 있습니다. Change Healthcare도 병원이 아니라 청구 처리를 대행하는 중간 업체였습니다.

지금 확인할 수 있는 것

  • 본인 의료 기록 조회 — 건강보험 포털에서 비정상적인 청구 내역이 없는지 확인합니다
  • 신용 보고서 확인 — 한국은 올크레딧이나 나이스지키미에서, 미국은 annualcreditreport.com에서 무료 조회 가능합니다
  • 2단계 인증 활성화 — 의료 포털, 건강보험 앱 등에 2FA를 설정합니다
  • 의심스러운 의료비 청구 — 받지 않은 진료에 대한 청구서가 오면 즉시 보험사에 신고합니다

| 항목 | 내용 | |------|------| | 공격 감지일 | 2024년 2월 21일 | | 공격자 | ALPHV(BlackCat) 랜섬웨어 그룹 | | 침입 경로 | MFA 미적용 Citrix 원격 접속 | | 피해 규모 | 1억 9,000만 명 (미국 인구 57%) | | 몸값 지불 | 2,200만 달러 (비트코인) | | 총 비용 | 24억 5,700만 달러 |

이 사건의 침입 경로는 MFA가 없는 원격 접속이었습니다. 내 계정에 2단계 인증이 켜져 있는지 — 특히 의료, 금융, 이메일 서비스부터 — 지금 확인하십시오.

참고

공유

보안 뉴스 알림 받기

새로운 보안 뉴스를 이메일로 전달합니다.