세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
美 보건복지부, 정보유출한 병원에 25억 원 부과
  |  입력 : 2018-01-02 11:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암 치료 기업, 미 보건복지부와 25억 원에 정보유출 배상 합의
HIPAA 프라이버시 및 보안 규칙 위반에 대해서도 소명해야


[보안뉴스 오다인 기자] 암 치료 전문 기업 ‘21세기 온콜로지(21st Century Oncology)’가 환자 수백만 명의 의료 및 개인정보를 유출한 데 대해 미국 보건복지부 민권담당국(Department of Health and Human Services Office for Civil Rights)과 약 25억 원(230만 달러) 배상에 합의했다.

[이미지=iclickart]


21세기 온콜로지는 암 치료 및 방사선 종양학 서비스를 제공하는 기업으로, 2015년 10월 3일 기업의 네트워크 SQL 데이터베이스를 해킹당해 수백만 명의 의료 기록과 사회보장번호를 도난당했다. 공격자들은 21세기 온콜로지 네트워크 내의 익스체인지 서버로부터 원격 데스크톱 프로토콜에 대한 접근을 확보한 뒤 환자 정보를 빼돌릴 수 있었던 것으로 추정된다.

공격자들은 220만 명의 환자 의료 기록과 사회보장번호에 접근할 수 있었다고 미 보건복지부는 설명했다.

2015년 미국 연방수사국(FBI)은 한 정보원이 승인되지 않은 서드파티로부터 환자 기록을 불법적으로 확보했다는 사실을 파악한 뒤 21세기 온콜로지에 해킹 사실을 고지했다.

미 보건복지부 민권담당국은 다음과 같은 사실로 인해 21세기 온콜로지에 과징금을 부과했다고 밝혔다.

1) 전자적으로 보호되는 의료 정보의 기밀성, 통합성, 가용성과 관련해, 잠재적인 위험과 취약점에 대해 정확하고 철저한 평가를 수행하지 않았다.
2) 합리적이고 적절한 수준에서 위험과 취약점을 감소시키기 위해 충분한 보안 조치를 실행하지 않았다.
3) 감사 로그, 액세스 리포트, 보안 사고 트래킹 리포트 등 정보 시스템 활동 기록을 정기적으로 검토하기 위한 절차를 시행하지 않았다.
4) 보호된 의료 정보를 서드파티 업체에 공개하기 전에 서면으로 업무제휴계약서를 받지 않았다.

21세기 온콜로지는 합의서에서 미국 의료정보보호법(HIPAA)의 프라이버시 및 보안 규칙을 위반했을 가능성에 대해 소명해야 한다. 또한, 합의의 일환으로 시정을 위한 포괄적인 액션 플랜을 개발해야 한다. 여기에는 위험 분석 및 위험 관리, 정책 및 절차에 대한 인력 교육, 내부 모니터링 계획 등이 포함돼야 한다고 미 보건복지부는 공지했다.

21세기 온콜로지는 작년 5월 파산보호를 신청한 뒤, 12월 11일 파산법원으로부터 미 보건복지부 민권담당국과의 합의 승인을 얻었다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)