미국 최대 투석 서비스 제공업체 중 하나인 다비타(DaVita Inc.)가 랜섬웨어(ransomware) 공격을 받아 270만 명의 환자‧직원 관련 정보가 유출된 사실이 미국 보건복지부(Department of Health and Human Services·HHS) 산하 데이터베이스에 등록되면서 드러났다다.
2025년 8월 21일, 로이터 통신 보도에 따르면 이번 사이버 보안 사고는 다비타 네트워크의 일부 핵심 요소를 암호화해 접근을 불가능하게 만든 랜섬웨어 공격으로 확인됐으며, 기관 보고 기준 2,703,119명이 직‧간접적으로 영향을 받았다
“당사는 환자 치료를 중단 없이 이어가는 동시에, 외부 사이버 보안 전문가와 협력해 시스템 복구 작업을 진행하고 있다”
는 다비타 측 기존 입장과 달리, HHS 등록 내용에는 데이터 접근 차단·시스템 복원 등 운영 차질이 실제로 발생했음이 명시됐다. 다비타는 지난 4월 공격 사실을 처음 공시했으나, 당시에는 “장애 기간이나 범위를 아직 추정할 수 없다“며 구체적 피해 규모를 공개하지 않았다.
다비타는 어떤 기업인가?
다비타는 전 세계적으로 약 3,000개에 달하는 외래 투석 클리닉과 재택 투석 서비스를 운영하며 만성 신장질환 환자에게 혈액 투석(hemodialysis) 치료를 제공한다. 투석은 신장 기능이 저하된 환자의 혈액에서 노폐물과 과잉 수분을 기계적으로 제거해 주는 필수 의료 행위다. 따라서 IT 시스템 마비는 곧 환자 생명과 직결될 수 있어, 보안 위협에 대한 의료기관들의 대비가 중요하다.
랜섬웨어란 무엇인가?
랜섬웨어는 침투한 시스템의 파일을 암호화하고, 이를 복호화해 주는 대가로 금전(암호화폐 등)을 요구하는 악성코드다. 특히 병원·제약사처럼 24시간 가동이 필수인 조직을 노려, 운영 중단 압력을 지렛대로 삼는 수법이 늘고 있다. 본 사건 역시 ‘인프라 암호화 → 서비스 차단 → 몸값 요구’의 전형적 흐름을 보였다.
금전적‧운영상 충격
회사는 2025년 2분기에 사이버 사고 대응 비용으로 1,350만 달러를 지출했다고 공시했다. 이 가운데 환자 치료 비용이 100만 달러, 총무·관리비가 1,250만 달러 증가했다. 해당 비용은 보안 컨설턴트 고용, 데이터 복구, 법률 자문, 고객 통보 및 모니터링 서비스 제공 등에 투입된 것으로 알려졌다.
다비타 주가는 사건 공표 직후 뉴욕증권거래소(NYSE) 개장 전 시간외 거래에서 약세를 보였으나, 장 마감 기준 낙폭을 상당 부분 만회했다. 시장은 단기 비용 부담보다 장기적 서비스 안정성 회복 속도에 주목하고 있다.
의료 산업을 노리는 해커들의 ‘블랙 스완’ 리스크
올해 들어 미국 의료·바이오 업계를 겨냥한 고도화된 랜섬웨어 공격 사례가 잇따르고 있다. 업계에서는 개인 건강정보(Protected Health Information·PHI)가 평균 신용카드 정보보다 수 배 높은 암시장에서 거래되고, 서비스 중단 시 환자 생명이 위협받는 특수성이 해커들의 타깃이 되는 배경이라고 분석한다. 실제로 최대 7자리 몸값을 요구하는 사례가 보고되며, 사고 은폐→2차 소송→규제 조사 악순환이 반복되는 양상이다.
규제·법적 프레임이 강화되는 배경
미 연방거래위원회(FTC)는 의료기관의 데이터 유출에 대해 소비자 보호법 위반을 적용할 수 있음을 재차 시사했다. 동시에, 미국 증권거래위원회(SEC)는 상장사가 “중대한 사이버 사건” 발생 시 4영업일 이내 신고를 의무화하는 규정을 2025년 초부터 전면 시행할 예정이다. 전문가들은 “랜섬웨어 대응은 더 이상 IT 부서만의 문제가 아닌 지배구조 차원의 리스크 관리”라고 지적한다.
업계·전문가 시각
사이버 보안 컨설팅 업체 A사는 “다비타 사례는 클라우드 전환·원격 진료 확산으로 늘어난 공격 표면(attack surface)을 상징적으로 보여준다”고 평가했다. 반면 일부 투자은행 리서치 노트는 “단기 비용 증가는 불가피하나, 의료서비스 수요의 비탄력성과 다비타의 시장 지배력으로 볼 때 재무적 타격은 제한적일 것”이라고 전망했다.
다비타의 향후 과제
회사는 사이버 회복력(cyber resilience) 강화를 위해 엔드포인트 탐지·대응(EDR) 솔루션 업그레이드, 제로 트러스트(Zero Trust) 아키텍처 도입, 직원 피싱 교육 확대 등을 예고했다. 또한 환자·협력사 신뢰 회복을 위해 투명한 사고 경과 공개와 장기 보안 투자 확대를 공언했다.
전문 기자 시각
필자는 이번 사건을 통해 “데이터가 곧 생명”이라는 의료산업의 숙명을 다시 확인했다. 집적된 환자 정보와 연속성이 절대적인 서비스 특성이 결합된 의료기관은 규제와 시장 압력 사이에서 ‘투명성·보안·지속 가능성’이라는 3대 축을 동시에 달성해야 한다. 다비타 사례는 비용 절감 최적화만을 좇던 헬스케어 공급망이 보안 내재화(security by design)라는 패러다임 전환을 요구받고 있음을 보여준다.
※ 랜섬웨어 공격을 예방하려면
① 정기 백업 실시와 오프라인 보관
② 다단계 인증(MFA) 도입
③ 패치 관리 및 취약점 점검을 생활화해야 한다.
다비타 관계자는 로이터 측 추가 질의에 “추가 정보는 조사 진행 상황에 따라 공개할 예정“이라며 즉각적인 언급을 피했다. 업계는 다비타의 복구 완료 시점을 집중 모니터링하며, 향후 손해배상 소송 가능성과 보험사 서브로그(Subrogation) 절차 여부에도 주목하고 있다.
