Your browser does not support JavaScript!

통신·헬스케어 개인정보 유출 동향과 보안 대응 전략

일반 리포트 2025년 05월 01일
goover

  • 2025년 5월 1일 기준으로 통신 및 헬스케어 분야에서 발생한 개인정보 유출 사례는 전 세계적으로 경각심을 불러일으키고 있습니다. 이 보고서는 미국 및 한국에서의 주요 개인정보 유출 사건을 시계열적으로 분석하고, 이에 따른 법적, 정책적 대응 현황과 기업의 보안 전략을 포괄적으로 정리합니다. 특히, SK텔레콤의 유심 해킹 사건과 같은 국내 사건은 기술 신뢰의 붕괴를 가져왔으며, 이로 인해 기업과 정부는 개인정보 보호를 위한 긴급한 조치를 요구받고 있습니다.

  • 글로벌 대형 헬스케어 기업이자 약국 네트워크인 PharMerica에서 발생한 사건은 2023년 3월에 고객 581만 명의 개인정보가 유출된 사건으로, 이로 인해 기업의 신뢰성과 고객 데이터 보호의 중요성이 다시금 강조되는 계기가 되었습니다. 이어서 Piping Rock의 데이터 해킹 사건은 건강기능식품 기업의 보안 취약점을 드러냈으며, 한국 기업들도 비슷한 사고를 방지하기 위해 GDPR 수준의 데이터 보호 조치를 마련해야 할 시점에 놓여 있습니다.

  • 또한, T-Mobile과 AT&T와 같은 미국 통신사들의 개인정보 유출 사건은 법적 배상 책임을 안겨 주었으며, 이는 한국에서도 유사한 사례가 발생할 가능성을 시사합니다. 이러한 대규모 유출 사건들은 기업들이 데이터 보호에 대해 신중하게 접근해야 할 필요성을 더욱 부각하고 있습니다.

  • 이외에도, 개인정보보호위원회가 제정한 새로운 AI 데이터 처리 가이드라인은 안전한 데이터 사용의 기반을 마련하는 중요한 이정표로 작용할 것입니다. 전반적으로 이러한 분석은 기업과 기관이 해결해야 하는 보안 과제를 명확히 제시하며, 향후의 대응 방향을 제안하는 데 중요한 역할을 합니다.

글로벌 개인정보 유출 사례 및 영향

  • PharMerica 사건 개요 및 영향

  • 2023년 3월 12일부터 13일 사이, 미국의 대형 약국 네트워크인 PharMerica에서 발생한 대규모 개인정보 유출 사건은 581만 명의 고객 정보가 유출된 심각한 사고로 평가됩니다. 유출된 정보에는 고객의 이름, 주소, 생년월일, 사회보장번호 등 기본정보는 물론, 민감한 건강 정보인 약물 사용 이력 및 건강보험 관련 데이터가 포함되어 있었습니다. 이는 고객의 프라이버시와 신뢰를 심각하게 침해한 사건으로, 개인정보 보호의 중요성을 다시 한번 일깨우는 계기가 되었습니다.

  • 이 사건은 해커 집단인 Money Message에 의해 발생하였으며, 이들은 PharMerica의 시스템에 무단 접근하여 4.7 테라바이트의 정보를 암호화하고 이를 탈취했습니다. 특히, 기업이 사고 발생 후 두 달이 지나서야 고객에게 사실을 통지한 점은 기업의 책임감 부족으로 비판받았으며, 사회적 신뢰를 잃게 만든 원인으로 작용했습니다.

  • PharMerica 사건은 디지털 헬스케어 시대에 있어 개인정보 보호의 부담과 중요성을 여실히 보여줍니다. 기업은 고객의 정보 보호를 위해 지속적으로 보안 기술을 강화해야 하며, 정기적인 보안 감사 및 직원 교육을 통해 정보를 보호해야 합니다. 정부는 이에 상응하는 규제 및 법적 프레임을 마련하여 신뢰를 구축하는 노력이 필요합니다.

  • Piping Rock 사례 분석

  • 2024년 4월, 미국의 건강기능식품 기업 Piping Rock는 해커 ‘Shopify Guy’의 공격으로 210만 개 이메일과 95만 명의 고객 데이터를 해킹 당했습니다. 이 사건은 건강 데이터의 보안 취약성을 드러내었으며, 해커가 탈취한 정보에는 고객의 이름, 전화번호, 주소, 건강기능식품 구매 이력까지 포함되었습니다. 이는 단순한 연락처 정보에 그치지 않고 고객의 건강 상태를 추론할 수 있는 정보들이었기에, 특히 심각한 우려를 자아냈습니다.

  • Piping Rock은 해커와의 협상을 거부했지만, 그 결과로 고객의 정보는 다크웹에 유출되었습니다. 이 사건은 미국의 개인정보 보호 체계가 얼마나 취약한지를 여실히 증명했습니다. 미국에서는 CCPA와 같은 주 법이 있지만, 연방 차원의 통합된 법체계가 없다는 점이 문제로 지적되었습니다. 그 결과 Piping Rock은 FTC의 사후 대응을 받을 수밖에 없었습니다.

  • 이 사건은 한국 기업들에게도 경각심을 불러일으키고 있으며, 한국의 건강기능식품 시장이 급격히 성장하고 있는 가운데 유사한 사건이 발생할 경우 기업의 자산이 심각하게 위협받을 수 있음을 시사합니다. 따라서, 한국 기업들은 GDPR 수준의 엄격한 데이터 보호 조치를 마련하는 것이 필수적입니다. 데이터 암호화, 실시간 모니터링 및 접근 통제와 같은 기술적 보안을 강화하고, 유출 사건 발생 시 신속하게 대응 체계를 갖추는 것이 기업 신뢰 회복의 핵심입니다.

  • 글로벌 통신사(T-Mobile·AT&T) 배상 사례

  • 대규모 개인정보 유출 사건이 발생한 T-Mobile과 AT&T는 미국에서 각기 다른 시점에 심각한 해킹 공격을 당했습니다. T-Mobile은 2021년 7천660만 명의 개인 데이터가 유출되었고, 이에 대해 소비자들에게 3억5천만 달러를 배상하기로 합의했습니다. 유출된 데이터에는 고객의 고유 정보뿐만 아니라 계정 비밀번호까지 포함되어 있어, 피해자들에게 상당한 손해를 끼쳤습니다.

  • AT&T 역시 여러 차례 고객 데이터 유출 사건을 겪었습니다. 2023년에는 외주 마케팅 업체의 클라우드 저장소에서 고객 890만 명의 정보가 유출되었고, 이는 1천300만 달러에 달하는 과징금을 부과받는 결과를 가져왔습니다. 또한, AT&T는 고객 통화 기록과 메시지 자료가 해킹당한 사건으로 인해 추가 소송을 당했으며, 이는 기업의 신뢰도에 재차 심각한 타격을 주었습니다.

  • 이러한 배상 사례는 미국 기업들이 개인정보 유출에 대해 얼마나 큰 재정적 위험을 안고 있는지를 보여줍니다. 한국 역시 지난 2023년 카카오의 개인정보 유출 사건이 151억 원의 과징금을 부과받는 등 비슷한 사례가 발생하고 있기에, 데이터 보호에 대한 법적·정책적 대응을 강화해야 할 필요성이 더욱 커지고 있습니다. 기업과 정부의 공동 노력으로 강력한 개인정보 보호 환경을 구축하는 것이 시급해 보입니다.

SK텔레콤 유심 해킹 사건 분석

  • SKT 유심 해킹 사건 개요

  • 2025년 4월, SK텔레콤은 해킹 공격에 의해 가입자들의 유심(USIM) 정보가 유출되었다고 발표하였다. 이번 사건은 해커들이 가입자의 전화번호, 가입자 식별키(IMSI) 등 총 25종의 정보에 접근할 수 있었던 것으로 밝혀졌다. SK텔레콤의 고객 수는 약 2300만 명으로, 이 사건은 단순한 개인정보 유출이 아니라, 다양한 범죄에 악용될 수 있는 심각한 상황이다. 특히, 유심 정보는 불법 금융 거래와 본인 인증의 핵심 데이터로 활용될 수 있어 개인정보 보호 측면에서 그 심각성이 크다. 사건 발생 직후, SK텔레콤은 자사의 보안 체계의 취약점과 해커의 공격 방법에 대해 조사가 진행되고 있다. 기계적 결함을 통해 공격자가 통신 인프라에 접근했다는 점에서 보안 관리에 대한 비판이 제기되고 있다.

  • 법적 쟁점 및 집단소송

  • 이 사건으로 인해 SK텔레콤 가입자들은 집단소송을 제기할 움직임을 보이고 있다. 이는 가입자들이 우려하는 보이스피싱, 금융 사기, 심지어 국가 안보와 직결될 수 있는 사건으로 인식되고 있기 때문이다. 과거 개인정보 유출 사건과 비교할 때, 손해배상 가능성과 법적 쟁점이 주목받고 있다. 특히, 이전 사례에서 (1) 개인정보 유출이 단순히 불안감에 그치지 않고 실질적인 피해로 이어질 경우 배상 책임이 인정되었던 점, (2) SK텔레콤이 개인정보 보호 의무를 이행하지 않았다는 점이 중요한 쟁점으로 부각되며, 이 두 가지가 결합하여 사건의 향방을 결정할 가능성이 있다.

  • 이 사건에서 가장 큰 법적 쟁점은 유심 정보와 같은 민감한 정보의 유출이 실제 피해를 초래할 수 있는지를 입증하는 데 있다. 가입자들은 자신의 개인정보 유출로 인해 구체적인 피해가 발생했음을 명확하게 증명해야 하며, 이는 법원에서 손해배상을 인정받기 위한 중요한 요소로 작용할 것이다.

  • 사건의 사회적 파장

  • 이번 SK텔레콤 해킹 사건은 단순히 특정 통신사의 문제가 아니라, 더욱 광범위한 사회적 신뢰의 문제로까지 귀결될 수 있다. 기술 신뢰 사회에서 개인정보 유출 사건이 발생하면, 이는 개인의 정보 보호뿐 아니라 사회 전반의 신뢰도에 악영향을 미칠 수 있다. 정보보안 및 개인 데이터 보호 진위 여부는 급속한 디지털 전환과 더불어 변화하는 사회적 환경에서 더욱 중요해지고 있다. 데이터 유출 사건이 반복될 경우 소비자들은 해당 기업에 대한 신뢰를 잃고, 경제 전체에 부정적인 영향을 미칠 수 있다. 보안 전문가들은 향후 이러한 해킹 뉴스가 빈번하게 보도될 것이라 예상하며, 통신사들이 더욱 철저한 보안 대책을 수립해야 한다고 주장하고 있다. 따라서 이번 사건은 기술 발전과 함께 다시 한번 개인정보 보호의 중요성을 상기시키는 경각심이 필요함을 나타낸다.

국내외 개인정보 보호 정책 및 규제 동향

  • 개인정보위 가이드라인 제정

  • 2025년 4월 29일, 개인정보보호위원회(개인정보위)는 인공지능(AI) 개발을 위한 공개 데이터 처리 기준을 담은 가이드라인을 제정하여 발표했습니다. 이번 가이드라인은 기업들이 인터넷상에서 활용 가능한 공개 데이터를 안전하고 적법하게 처리할 수 있도록 돕는 것을 목적으로 하고 있습니다. 특히, AI 모델의 학습에 필요한 데이터 대부분이 공개 데이터라는 점에서, 관련 법의 해석과 적용 기준을 명확히 함으로써 기업의 법적 불확실성을 해소하고자 한 것입니다. 이 가이드라인에는 개인정보 보호법 상의 동의 및 안전성 확보 조치와 같은 기존 규정이 AI 데이터 처리에 어떻게 적절히 적용될 수 있는지를 설명하고 있습니다. 이는 AI 및 데이터 처리와 관련하여 국내외 표준과의 상호 호환성을 높이는 중요한 발판이 될 것입니다.

  • 개인정보위는 이전에 발표한 '안전한 개인정보 활용 정책 방향'을 바탕으로 다양한 이해관계자들과 의견을 수렴하며 가이드라인을 마련했습니다. 이 과정에서 개인정보처리자의 '정당한 이익'이 AI 개발 및 서비스에 활용될 수 있는 기준을 제시하였으며, 이는 유럽 연합의 일반 개인정보 보호법(EU GDPR)과 같은 국제적인 기준과의 맞물림을 고려한 것입니다.

  • 또한, 이 가이드라인은 궁극적으로 개인정보 침해 이슈를 최소화하며, 법적 리스크를 줄이기 위해 기업들이 수행할 수 있는 기술적 보안 조치와 관련된 세부 사항도 포함하고 있습니다. 개인정보위는 향후 가이드라인이 지속적으로 개선될 수 있도록 시기적인 업데이트를 예고하였으며, AI 기술의 발전 속도와 함께 이 가이드라인이 더욱 발전할 것입니다.

  • 베트남 위조 제품 대응 정책

  • 2025년 4월 17일, 베트남의 총리는 증가하는 위조 제품에 대한 대응을 요구하는 지시문을 발표했습니다. 특히, 위조 유제품과 의약품의 생산 및 유통이 심각한 공공 건강 문제로 대두되고 있음에 따라, 이를 방지하기 위한 긴급 조치를 취해야 한다고 강조했습니다. 이 지시에 따라 베트남 공공안전부와 산업무역부는 위조 제품의 조사 및 단속을 강화하는 한편, 소비자 보호를 위한 법적 조치를 마련하고 있습니다.

  • 위조 유제품과 의약품의 시장에서의 확산은 특히 어린이와 노인 등 취약계층에 심각한 위험을 초래할 수 있기에, 정부는 시장 관리와 제품 검사를 통해 이를 신속히 차단할 방침입니다. 이를 위해 지역 정부들이 협력하여 불법 유통 경로를 확보하고 위조 제품을 시장에서 철수하는 작업에 나섭니다.

  • 이러한 노력은 공공 안전을 확보하고 소비자 신뢰를 높이는 데 중점을 두고 있으며, 정부는 소비자에게 위조 제품의 위험성을 알리고, 신속하게 신고할 수 있는 시스템을 운영할 것이라고 발표했습니다.

  • 글로벌 기업 프라이버시 정책 변화

  • 2025년 4월 30일, Apple, OpenAI, Shopify 등 주요 글로벌 기술 기업들이 관련 개인정보 보호 정책을 변경하는 상황이 발생하였습니다. Apple은 최근 업데이트된 개인정보 보호 정책에서 오류 보고를 통해 수집된 데이터가 AI 모델 훈련에 활용될 수 있도록 허용했습니다. 이 과정에서 사용자는 데이터를 제공하지 않기 위한 명확한 선택권이 없다는 점에서 사용자의 프라이버시 우려가 커지고 있습니다.

  • OpenAI는 새로운 모델 o3와 o4-mini를 발표하면서 개인의 위치를 추적하는 새로운 기능도 도입했습니다. 이 모델은 이미지 내용을 기반으로 한 위치 추적 기능이 포함되어 있어 개인 정보 유출의 위험이 높아질 수 있습니다. 이는 개인의 안전과 프라이버시 문제를 초래할 수 있는 잠재적 위험 요소로 지적받고 있습니다.

  • 이와 함께 Shopify는 최근 제기된 개인정보 보호 집단 소송에 대한 법원 판결로 자칫 인터넷 플랫폼에 대한 법적 책임이 확대될 수 있는 상황을 맞이했습니다. 이는 기술 기업들이 개인정보 보호를 보다 책임감 있게 관리해야 할 필요성을 강하게 시사합니다.

보안 전략 및 모범 사례 제언

  • 클라우드 데이터 거버넌스 준수 과제

  • 클라우드 컴퓨팅의 채택은 조직이 데이터를 안전하게 접근하고 협력이 가능하게 만드는 여러 장점을 제공합니다. 하지만 데이터가 국경을 넘어갈 때 발생하는 복잡한 규제 준수 이슈는 새로운 도전 과제가 됩니다. 미국의 경우, 연방 및 주규정이 결합되어 데이터 수집, 저장, 처리 및 보호 방법에 대해 다양한 접근법이 존재하고 있습니다. 특히, 헬스케어 분야에서는 HIPAA와 같은 법률이 보호받아야 할 의료 정보를 처리하는 데 있어 강력한 안전장치를 요구합니다. 이러한 법적 프레임워크를 준수하기 위하여 각 기업은 데이터 안전성과 개인정보 보호를 우선시하는 거버넌스 프레임워크를 구축해야 합니다.

  • 엔터프라이즈 보안 내재화 전략

  • 현대 기업은 보안을 단순한 IT 문제로 한정짓지 말고, 조직의 전반적인 비즈니스 맥락 내에서 통합적으로 접근해야 합니다. 보안 내재화 전략은 보안이 모든 비즈니스 프로세스에 자연스럽게 융합되도록 함으로써, 보안 분야의 인식변화를 이끌 수 있습니다. 예를 들어, 고객 신뢰를 형성하기 위해 보안 책임을 전사적으로 나누고, 프로그램 개발 및 비즈니스 전략의 초기 단계에서부터 보안을 고려해야 합니다. 이는 단순히 정책을 따르는 것이 아니라, 보안을 조직 문화의 중심 요소로 삼는 것을 의미합니다.

  • 헬스케어 분야 디지털 위생 중요성

  • 헬스케어 분야의 디지털 위생은 단순한 보안 조치를 넘어, 환자의 생명과 직결되는 중대한 문제입니다. 이 분야는 의료 데이터의 가치에서 오는 공격 목표로서, 사이버 공격자들에게 상시적인 위협이 되고 있습니다. 적절한 디지털 위생을 유지하기 위해서는 정기적인 소프트웨어 업데이트, 직원 교육, 강력한 접근 제어 정책이 필수적입니다. 예를 들어, 의료 기관에서 랜섬웨어 공격이 발생할 경우, 단순히 환자 정보가 유출되는 것뿐만 아니라 즉각적인 치료가 지연될 수 있어 생명에 직접적인 위협이 됩니다. 따라서 디지털 위생을 생활화하여 사이버 공격의 위험을 최소화하고, 환자의 안전을 확보하는 것이 필수적입니다.

마무리

  • 반복되는 개인정보 유출 사건은 통신과 헬스케어 분야에 있어 기술 신뢰 기반을 심각하게 훼손하고 있습니다. 현재 진행 중인 SK텔레콤의 유심 해킹 사건은 법적 소송과 사회적 불안을 초래하며, 데이터 보호 및 사이버 보안의 필요성을 더욱 부각시키고 있습니다. 이러한 위기 상황에서 정부와 기업 모두 강력한 규제와 가이드라인을 통해 개인정보 보호 체계를 재정비해야 할 긴급한 과제가 자리 잡고 있습니다.

  • 더욱이, 기업 차원에서는 클라우드 거버넌스 강화, 보안 내재화, 디지털 위생 확보에 주력해야 하며, 이들을 통합적으로 관리하여 성과를 늘려야 합니다. 향후에는 AI 및 클라우드와 같은 신기술의 도입 시 프라이버시 리스크를 사전에 점검하는 것이 필수적이며, 이는 기업의 경쟁력을 유지하는 데 중요한 요소가 될 것입니다.

  • 마지막으로, 기업은 국제 표준 기반의 보안 투자 확대와 함께 전사적 보안 문화를 구축해야 합니다. 이는 단순한 규제 준수를 넘어서 기업의 지속 가능성과 고객 신뢰를 높이는 데 기여할 것입니다. 개인정보 보호에 대한 경각심이 더욱 요구되는 가운데, 이번 사건들은 기업들이 미래지향적인 접근 방식을 통해 새로운 도전을 맞이해야 함을 강하게 시사하고 있습니다.

용어집

  • USIM 해킹: USIM 해킹이란 가입자의 유심(USIM) 정보가 해커에 의해 무단으로 접근 및 탈취되는 사건을 의미합니다. 이런 해킹 사건은 종종 전화번호 및 가입자 식별키(IMSI)와 같은 민감한 개인 정보를 포함해 사용자의 프라이버시를 위협합니다.
  • 개인정보 유출: 개인정보 유출은 개인의 이름, 주소, 연락처, 민감한 건강 정보 등 개인 데이터가 무단으로 외부로 노출되는 사건을 말합니다. 이러한 유출은 법적 책임과 사회적 불안을 초래할 수 있으며, 기업의 신뢰성을 크게 저하시킬 수 있습니다.
  • PharMerica: PharMerica는 미국의 대형 헬스케어 기업으로, 약국 네트워크를 운영하고 있습니다. 2023년에 발생한 개인정보 유출 사건에서 581만 명의 고객 정보가 탈취되어 기업의 신뢰성에 큰 타격을 입히게 되었습니다.
  • 디지털 위생: 디지털 위생은 개인 및 조직이 디지털 환경에서 정보를 안전하게 관리하고 보호하기 위한 조치를 말합니다. 이는 정기적인 소프트웨어 업데이트, 강력한 비밀번호 관리 및 사용자 교육 등을 포함하여 사이버 공격으로부터 보호하는 것을 목표로 합니다.
  • 클라우드 거버넌스: 클라우드 거버넌스는 클라우드 환경에서 데이터의 수집, 저장, 처리 및 보호를 위한 규제를 준수하는 관리 체계를 의미합니다. 기업은 이러한 거버넌스를 통해 데이터의 안전성과 개인정보 보호를 우선시해야 합니다.
  • 보안 내재화: 보안 내재화란 기업의 비즈니스 프로세스 전반에 보안 개념을 통합하는 전략을 의미합니다. 이를 통해 보안 책임을 전사적으로 나누어 고객 신뢰를 구축하고, 비즈니스 전략과 함께 보안 측면을 고려해야 합니다.
  • AI 데이터 처리 가이드라인: AI 데이터 처리 가이드라인은 인공지능 개발을 위한 공개 데이터의 안전한 처리 기준을 명시한 규정으로, 기업들이 법적 불확실성을 해소할 수 있도록 돕고 있습니다. 이러한 가이드라인은 개인정보 보호법과 상관된 기준을 명확히 하여 안전한 사용을 촉진하고자 합니다.
  • 사이버보안: 사이버보안은 정보 시스템을 사이버 공격 및 침해로부터 보호하기 위한 기술적, 관리적 조치를 포괄하는 개념입니다. 이는 데이터의 기밀성, 무결성 및 가용성을 보장하는 데 중점을 둡니다.
  • 국가 안보: 국가 안보는 국가의 안전과 적의 침입 및 내부의 위협으로부터 보호하기 위한 정책과 활동을 포함합니다. 개인정보 유출을 통해 국가는 다양한 불법적인 활동의 위험에 노출될 수 있는 만큼, 보안 문제가 국가의 안전과 직결될 수 있습니다.
  • 법적 쟁점: 법적 쟁점은 특정 사건이나 상황에서 법률적으로 쟁론이 되는 사안들을 의미합니다. 개인정보 유출 사건에서, 손해배상 책임이나 기업의 개인정보 보호 의무의 이행 여부가 주요 법적 쟁점으로 등장할 수 있습니다.
  • GDPR: GDPR(General Data Protection Regulation)은 유럽연합(EU)에서 제정한 개인정보 보호 규정으로, 개인 데이터를 처리할 때 GDPR에 따라 동의와 같은 기본 권리를 보장해야 함을 규정합니다. 이는 국제적으로 데이터 보호의 주요 기준으로 간주됩니다.

출처 문서