인도 최대 약국체인, 1만 7천 건 처방전이 털렸다
DavaIndia 약국의 보안 허점으로 고객 처방전과 민감한 의료 정보가 노출. 온라인 헬스케어의 개인정보 보호 취약성이 드러났다.
처방전만큼 민감한 개인정보가 또 있을까
인도 최대 약국체인 중 하나인 DavaIndia에서 1만 7천 건의 온라인 주문 데이터가 무방비 상태로 노출됐다. 고객 이름, 전화번호, 구매한 약품 정보까지 모든 것이 해커들에게 열려 있었다.
문제는 단순한 개인정보 유출을 넘어선다. 처방전 데이터는 그 사람의 건강 상태, 질병, 심지어 '말하기 어려운' 약물 구매까지 적나라하게 보여준다. 보안 연구원 이튼 즈베어가 발견한 이 허점은 2024년 말부터 존재해온 것으로 추정된다.
'슈퍼 관리자' 계정을 아무나 만들 수 있었다
Zota Healthcare 산하 DavaIndia는 인도 전역에 2,300개 매장을 운영하는 거대 약국 체인이다. 올해 1월에만 276개 신규 매장을 오픈했고, 향후 2년간 1,200~1,500개를 추가할 계획이다.
하지만 급속한 확장 뒤에 보안은 허술했다. 즈베어에 따르면, 웹사이트의 관리자 인터페이스가 제대로 보호되지 않아 누구든 '슈퍼 관리자' 계정을 생성할 수 있었다. 이 계정으로 할 수 있는 일은 충격적이다:
- 수천 건의 온라인 주문 내역 열람
- 제품 가격과 목록 수정
- 할인 쿠폰 생성
- 처방전 필요 여부 설정 변경
마지막 항목이 특히 위험하다. 해커가 처방전이 필요한 약을 일반의약품으로 바꿔버릴 수 있다는 뜻이기 때문이다.
한국도 안전하지 않다
이 사건이 먼 나라 이야기로 느껴질까? 한국의 온라인 약국과 헬스케어 플랫폼도 비슷한 위험에 노출돼 있다. 특히 코로나19 이후 비대면 의료서비스가 급속히 확산하면서, 의료 데이터를 다루는 플랫폼들이 늘어났다.
국내 주요 온라인 약국들(온누리약국, 365약국 등)과 헬스케어 스타트업들이 고객 데이터를 얼마나 안전하게 보호하고 있는지 점검이 필요한 시점이다. 개인정보보호법 위반 시 매출액의 3% 또는 30억원 이하의 과징금이 부과되지만, 의료 데이터 유출의 파급효과는 금전적 손실을 훨씬 넘어선다.
환자들이 알아야 할 것들
즈베어는 지난 8월 인도 사이버보안 당국(CERT-In)에 이 문제를 신고했고, 몇 주 만에 수정됐다. 다행히 실제 악용 사례는 발견되지 않았다고 한다.
하지만 이런 '운 좋은' 결과에만 의존할 수는 없다. 온라인으로 약을 주문할 때 고려해야 할 점들:
- 플랫폼의 보안 정책과 데이터 처리 방침 확인
- 불필요한 개인정보 제공 최소화
- 정기적인 주문 내역과 계정 활동 점검
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
위키피디아가 Archive.today를 블랙리스트에 올린 배경과 디지털 아카이브 생태계에 미치는 파장을 분석합니다.
국토보안부가 뉴햄프셔 주지사에게 보낸 대규모 구금시설 계획서에서 작성자와 내부 논의 내용이 그대로 노출되었다. 정부 문서 보안의 허점을 드러낸 사건.
우크라이나인이 북한 IT 인력의 미국 기업 침투를 도운 대가로 징역 5년을 선고받았다. 이들은 훔친 신분으로 취업해 핵무기 개발 자금을 조달했다.
HBO 드라마 '더 핏'이 그린 AI 의료진단 시스템의 현실. 효율성과 인간성 사이에서 고민하는 의료진들의 이야기
위키피디아가 Archive.today를 블랙리스트에 올린 배경과 디지털 아카이브 생태계에 미치는 파장을 분석합니다.
국토보안부가 뉴햄프셔 주지사에게 보낸 대규모 구금시설 계획서에서 작성자와 내부 논의 내용이 그대로 노출되었다. 정부 문서 보안의 허점을 드러낸 사건.
우크라이나인이 북한 IT 인력의 미국 기업 침투를 도운 대가로 징역 5년을 선고받았다. 이들은 훔친 신분으로 취업해 핵무기 개발 자금을 조달했다.
HBO 드라마 '더 핏'이 그린 AI 의료진단 시스템의 현실. 효율성과 인간성 사이에서 고민하는 의료진들의 이야기
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요