전체메뉴

[애플경제 이윤순 기자]  미국 시민의 3분의 1이 사실상 해킹을 당했다는 증언이 나와 충격을 주고 있다. 미국 최대의 보험회사이자 우리의 건강보험공단과 같은 공보험(메디케어, 메디케이드) 기구의 역할을 하고 있는 유나이티드헬스케어(United Healthcare) 그룹의 앤드루 위티 대표는 1일 의회 청문회에서 “미국 시민의 3분의 1이 최근 해킹으로 인해 영향을 받았을 것”이라고 밝혔다.

청문회 증언에 미국 사회 ‘충격’

지난 달, 이 회사의 자회사인 체인지 헬스케어(Change Healthcare)는 대규모 사이버공격을 당해 한때 기능이 마비되기도 했다. 테크크런치, 블룸버그 등에 의하면 이날 미 상원 재무위원회 청문회에 불려나온 위티 대표는 “해킹으로 도난당한 파일에 ‘상당한 비율의 미국민들’의 개인 건강 정보가 포함되어 있다”고 말했다. 이에 좀더 확실한 답변을 요구하는 의원들의 추궁이 계속되자, 마침내 “아마도 전체 미국민의 3분의 1 또는 그와 비슷한 수치의 많은 시민들에게 어떤 형태로든 해킹의 영향이 미쳤을 것”이라고 실토해 장내를 경악하게 했다.

앞서 해커들은 체인지 헬스케어사의 시스템에 침입, 이 회사 데이터를 훔치고 암호화한 사이버공격을 벌였다. 당시 이는 미국 사회를 떠들썩하게 했고, 이 회사가 사실상 미국민 대부분의 의료보험 정보를 갖고 있다는 사실 때문에 해킹의 피해와 영향이 어느 정도인지를 둘러싸고 지금까지 논란이 거듭되고 있다. 그로부터 두 달이 지났지만 얼마나 많은 미국인이 사이버 공격의 영향을 받았는지가 아직 확실하지 않은 실정이다. 그런 가운데 이날 위티 대표의 의회 증언이 나옴으로써 다시금 미국 사회가 충격에 빠졌다.

해커들 ‘손상된 자격증명’으로 침투

유나이티드헬스 그룹은 미국의 다국적 관리 의료산업 및 의료보험 회사다. 세계 최대의 보험회사라고 해도 과언이 아니다. 이 회사는 다시 유나이티드헬스케어와 ‘옵텀’ 두 계열사로 나뉜다. 그 중 유나이티드 헬스케어는 사보험 뿐만 아니라 메디케어, 메디케이드 등 공보험까지 커버하며 5천만명 이상의 가입자를 보유하고 있다. 이에 비해 ‘옵텀’은 종합 헬스케어 업체다. ‘옵텀헬스’는 의료시설을 운영하며 원격의료, 건강관리, 특화금융 등의 서비스를 제공한다.

이날 위티 대표는 증언을 통해 “본사가 여전히 침해 사고를 조사하고 있으며 정확히 얼마나 많은 사람들이 영향을 받았는지 파악하려고 노력하고 있다”면서 더 이상 정확한 답변을 유보해 궁금증을 남겼다. 유나이티드 헬스케어사는 이같은 위티 대표의 증언에 대해 가타부타 언급을 하지 않고 있다.

위티는 그러나 이날 상원 청문회에서 “본사가 피해자들 개인에게 데이터 유출 여부를 알리기까지는 ‘수개월’이 걸릴 것”이라고 했다. 아직 수많은 회원들에 대한 해킹 여부를 파악하지 못했다는 얘기다. 청문회 출석이 이미 두 번째인 위티는 앞서 제출한 서면 진술서에서도 “아직까지 본사 데이터 중 의사 차트나 병력 전체 등 자료가 유출됐다는 증거를 본 적은 없다”고 했다.

전문가들 “다단계 인증 소홀, 회사측 책임 커” 비판

위티의 증언에 따르면 해커들은 손상된 자격 증명을 이용해 네트워크에 침입한 것으로 알려졌다. 즉 손상된 자격증명으로 계정과 시스템에 로그인하기 위한 추가 단계, 즉 기본 사이버 보안 조치인 다단계 인증으로는 보호되지 않는 ‘Change Healthcare Citrix’ 포털에 원격으로 액세스한 것으로 밝혀졌다.

이를 두고 사이버보안 전문가들은 “만약 해당 포털에 미리 다단계 인증이 활성화되어 있었더라면 침해가 발생하지 않았을 수도 있었을 것”이라고 전적으로 이 회사측에게 책임을 돌렸다. 이날 청문회에서도 일부 의원들은 사이버공격에 대해 위티 대표를 힐책하며, “이젠 유나이티드헬스케어와 체인지헬스케어 시스템이 다단계 인증으로 보호되고 있느냐”고 따지기도 했다

이에 위티는 “모든 외부 시스템에 다중 요소 인증을 적용하는 정책을 회사 전체에 걸쳐 시행하고 있다.”고 해명했다. 그러나 이 사건은 세계 최첨단의 사이버보안 시스템을 자랑하는 미국사회의 또 다른 허점을 드러낸 치명적 사건으로 기억될 것이란 지적이다.