인도 최대 약국체인, 1만 7천 건 처방전이 털렸다

처방전만큼 민감한 개인정보가 또 있을까

인도 최대 약국체인 중 하나인 DavaIndia에서 1만 7천 건의 온라인 주문 데이터가 무방비 상태로 노출됐다. 고객 이름, 전화번호, 구매한 약품 정보까지 모든 것이 해커들에게 열려 있었다.

문제는 단순한 개인정보 유출을 넘어선다. 처방전 데이터는 그 사람의 건강 상태, 질병, 심지어 '말하기 어려운' 약물 구매까지 적나라하게 보여준다. 보안 연구원 이튼 즈베어가 발견한 이 허점은 2024년 말부터 존재해온 것으로 추정된다.

'슈퍼 관리자' 계정을 아무나 만들 수 있었다

Zota Healthcare 산하 DavaIndia는 인도 전역에 2,300개 매장을 운영하는 거대 약국 체인이다. 올해 1월에만 276개 신규 매장을 오픈했고, 향후 2년간 1,200~1,500개를 추가할 계획이다.

하지만 급속한 확장 뒤에 보안은 허술했다. 즈베어에 따르면, 웹사이트의 관리자 인터페이스가 제대로 보호되지 않아 누구든 '슈퍼 관리자' 계정을 생성할 수 있었다. 이 계정으로 할 수 있는 일은 충격적이다:

• 수천 건의 온라인 주문 내역 열람
• 제품 가격과 목록 수정
• 할인 쿠폰 생성
• 처방전 필요 여부 설정 변경

광고

광고주 모집

[email protected]

광고

마지막 항목이 특히 위험하다. 해커가 처방전이 필요한 약을 일반의약품으로 바꿔버릴 수 있다는 뜻이기 때문이다.

한국도 안전하지 않다

이 사건이 먼 나라 이야기로 느껴질까? 한국의 온라인 약국과 헬스케어 플랫폼도 비슷한 위험에 노출돼 있다. 특히 코로나19 이후 비대면 의료서비스가 급속히 확산하면서, 의료 데이터를 다루는 플랫폼들이 늘어났다.

국내 주요 온라인 약국들(온누리약국, 365약국 등)과 헬스케어 스타트업들이 고객 데이터를 얼마나 안전하게 보호하고 있는지 점검이 필요한 시점이다. 개인정보보호법 위반 시 매출액의 3% 또는 30억원 이하의 과징금이 부과되지만, 의료 데이터 유출의 파급효과는 금전적 손실을 훨씬 넘어선다.

환자들이 알아야 할 것들

즈베어는 지난 8월 인도 사이버보안 당국(CERT-In)에 이 문제를 신고했고, 몇 주 만에 수정됐다. 다행히 실제 악용 사례는 발견되지 않았다고 한다.

하지만 이런 '운 좋은' 결과에만 의존할 수는 없다. 온라인으로 약을 주문할 때 고려해야 할 점들:

• 플랫폼의 보안 정책과 데이터 처리 방침 확인
• 불필요한 개인정보 제공 최소화
• 정기적인 주문 내역과 계정 활동 점검