'간호사 우버', 공개된 S3 버킷 통해 86,000개 이상의 의료 기록 및 개인 식별 정보 노출 사건

수천 개의 기록, PII 포함, 온라인에 노출됨

• ESHYFT라는 뉴저지 기반의 헬스테크 회사의 데이터베이스가 비밀번호 보호 없이 노출됨. 이 회사는 모바일 앱 플랫폼을 통해 의료 시설과 간호사를 연결함.
• 노출된 데이터베이스는 86,341개의 기록을 포함하며, 총 108.8GB의 크기임. 데이터베이스에는 사용자 프로필 사진, 근무 일정 로그, 전문 자격증, 근무 계약서, 이력서 등이 포함되어 있었음.
• 일부 문서에는 진단, 처방전, 치료 정보가 포함된 의료 문서도 있었으며, 이는 HIPAA 규정을 위반할 가능성이 있음.
• 데이터베이스는 ESHYFT의 소유로 보이며, 발견 후 회사에 알림을 보냈고, 한 달 후에 접근이 제한됨.

ESHYFT의 역할과 중요성

• ESHYFT는 의료 시설과 간호사를 연결하는 모바일 플랫폼을 제공하며, 29개 주에서 운영됨.
• 이 앱은 간호사들이 자신의 일정에 맞는 근무를 선택할 수 있도록 하며, 의료 시설에는 검증된 간호 인력을 제공함.
• Google Play Store에서 50,000회 이상 다운로드됨.

개인정보 노출의 위험성

• 개인 식별 정보(PII), 급여 정보, 근무 이력의 노출은 개인과 고용 기관 모두에게 심각한 위험과 취약성을 초래할 수 있음.
• 신분증, 주소 등의 정보가 결합되면 사이버 범죄자들이 신원 도용이나 금융 사기를 저지를 수 있음.
• 노출된 정보는 피싱 캠페인에 악용될 수 있으며, 피해자에게 추가적인 개인 또는 금융 정보를 유도할 수 있음.

보안 강화 권장 사항

• 헬스테크 회사와 의료 소프트웨어 제공업체는 데이터 보호와 무단 접근 방지를 위한 적극적인 사이버 보안 조치를 취해야 함.
• 민감한 데이터의 암호화 프로토콜을 의무화하고, 내부 인프라의 정기적인 보안 감사가 필요함.
• 민감한 데이터는 가능한 한 익명화하고, 사용되지 않는 데이터는 만료일을 지정하여 저장을 제한해야 함.
• 다중 인증(MFA)을 요구하여 사용자 자격 증명이 노출되더라도 쉽게 접근할 수 없도록 해야 함.
• 데이터 유출 대응 계획과 보안 사고 보고를 위한 전용 커뮤니케이션 채널을 마련해야 함.

결론

• 데이터 유출 시, 영향을 받을 수 있는 모든 사람에게 신속한 책임 있는 공지를 제공해야 함.
• 사용자는 피싱 시도를 인식하는 방법에 대해 교육받아야 하며, 이는 서비스 제공자와 사용자 모두에게 이익이 됨.
• 이 보고서는 교육 목적으로 작성되었으며, 실제 데이터 무결성의 손상을 반영하지 않음.