일리노이주 보건당국, 환자 60만명 개인정보 4년간 노출...지도 공개 설정 오류

일리노이주 인적서비스부가 2021년부터 잘못된 개인정보 보호 설정으로 환자 70만명 이상의 개인정보를 유출했다고 밝혔다.

[한국정보기술신문] 미국 일리노이주 인적서비스부(IDHS)가 지난 1월 3일, 수천명의 환자 이름과 주소가 지난 수년간 잘못된 설정으로 공개적으로 열람 가능한 상태였다고 발표했다. 이번 정보 유출은 2021년부터 2025년까지 약 4년간 지속된 것으로 확인됐다.

IDHS는 성명을 통해 사무실 신설 위치 및 특정 자원 배분 결정을 지원하기 위해 제작한 여러 지도의 개인정보 보호 설정이 잘못되어 2021년부터 2025년 사이 공개된 상태였다고 밝혔다.

유출된 정보는 두 그룹으로 나뉜다. 재활서비스 부서 고객 32,000명 이상의 정보가 2021년 4월부터 2025년 9월까지 공개되었으며, 여기에는 이름, 주소, 사례 번호, 사례 상태, 의뢰 출처 정보, 지역 및 사무소 정보, 재활서비스 수혜자 신분이 포함됐다.

메디케이드·메디케어 수혜자 67만명 정보도 노출

또한 약 670,000명의 메디케이드 및 메디케어 저축 프로그램 수혜자의 주소, 사례 번호, 인구통계 정보, 의료 지원 계획 이름이 2022년 1월부터 2025년 9월까지 공개 열람 가능한 상태였다고 IDHS는 덧붙였다.

IDHS는 지도 작성 웹사이트가 누가 지도를 열람했는지 식별할 수 없었으며, 데이터 유출로 인한 개인정보 오용 사례는 현재까지 확인되지 않았다고 밝혔다.

해당 기관은 지난해 9월 22일 이 문제를 발견하고 즉시 모든 지도의 개인정보 보호 설정을 변경하여 권한이 있는 IDHS 직원만 접근하도록 제한했다. 또한 공개 지도 작성 웹사이트에 고객 데이터 업로드를 금지하는 보안 지도 정책을 시행했다고 설명했다.

해당 환자들에게 개별 통보 예정

개인정보가 공개된 개인들은 IDHS로부터 정보 유출에 대한 통지를 받게 되며, 통지서에는 추가 정보를 위해 연락할 수 있는 전화번호가 포함될 예정이다.

이번 사건은 정부 기관의 데이터 관리 시스템에서 개인정보 보호 설정의 중요성을 다시 한번 일깨우는 사례가 됐다. 특히 보건의료 분야의 민감한 개인정보가 장기간 노출됐다는 점에서 정부 기관의 정보보안 체계 점검이 필요하다는 지적이 나온다.

일리노이주는 이번 사건을 계기로 유사한 데이터 관리 시스템에 대한 전면적인 보안 점검을 실시할 것으로 예상된다. 데이터 보안 전문가들은 정부 기관이 내부 의사결정을 위해 사용하는 지도 및 시각화 도구에서도 개인정보 보호 원칙이 철저히 준수되어야 한다고 강조하고 있다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org