미국 최대 보험사 유나이티드헬스 그룹의 기술 부문인 체인지 헬스케어(Change Healthcare)에서 발생한 대규모 사이버 공격으로 총 1억9,270만 명의 개인건강정보(PHI)가 유출된 것으로 확인됐다.
2025년 8월 14일, 로이터 통신에 따르면 미국 보건복지부(HHS) 산하 시민권국(Office for Civil Rights·OCR)이 운영하는 데이터 침해 신고 목록에 최근 업데이트된 내용에서 이 같은 피해 규모가 공식적으로 공개됐다.
유나이티드헬스는 2025년 1월 내부 추정치를 통해 약 1억9,000만 명이 영향을 받았다고 발표했으나, 공식 집계가 처음으로 1억9,270만 명으로 상향 조정되면서 미국 의료 역사상 최대 규모 데이터 유출 사고로 기록됐다.
사고 경위와 ‘블랙캣(Blackcat)’ 랜섬웨어
체인지 헬스케어는 2024년 2월 해킹 사실을 공개했다. 공격자는 ‘블랙캣(Blackcat)’으로 불리는 랜섬웨어 조직으로, 시스템에 침투해 보험 청구 처리(claims processing)를 마비시켰다. 이에 따라 전국 병·의원과 약국의 보험 청구 지연이 수주간 지속되면서 환자·의료진 모두 큰 혼란을 겪었다.
HHS 시민권국이 관리하는 침해 신고 포털에는 “유출된 정보 범위에는 건강보험 가입자 ID·진단명·치료 내역·사회보장번호·청구 코드 등이 포함된다”고 명시됐다.
이번 사건은 환자의 진료·결제 관련 데이터가 대량으로 노출됐다는 점에서, HIPAA(미 보건보험 양도 및 책임에 관한 법) 위반에 따른 과징금·집단소송 가능성도 제기된다.
회사의 대응과 침해 범위
유나이티드헬스는 로이터의 논평 요청에 즉각 응답하지 않았다. 다만 앞서 “모든 영향을 받은 개인에게 무료 신용감시 서비스와 신원 도용 방지 지원을 제공하겠다”는 입장을 밝힌 바 있다.
데이터 침해 신고 포털의 숫자는 법적으로 500명 이상의 개인정보 유출 시 60일 이내 보고 의무가 있는 HIPAA 규정을 준수해 공개된 수치다. 전문가들은 “해당 수치는 잠정치이며, 향후 추가 분석이 진행될수록 피해 규모가 더 커질 가능성도 있다”고 지적한다.
‘블랙캣’은 누구인가? — 낯선 용어 해설
‘블랙캣(Blackcat)’은 러시아어권 해킹 커뮤니티에서 활동하는 것으로 알려진 ALPHV 랜섬웨어 조직의 별칭이다. 랜섬웨어란 데이터를 암호화해 시스템을 마비시킨 뒤 금전적 대가를 요구하는 악성코드 공격 기법이다. 블랙캣은 2021년 말 처음 포착된 이후 에너지·운송·의료 등 주요 인프라를 표적으로 삼아왔으며, ‘서비스형 랜섬웨어(RaaS)’ 모델을 통해 제3자 해커에게 공격 도구를 임대한다는 점이 특징으로 지목된다.
미 연방수사국(FBI)은 2023년부터 블랙캣 서버를 압수하며 대응에 나섰지만, 해당 조직은 피해 기업 자료를 이중으로 유출(암호화+데이터 유출)하는 수법으로 압박 수위를 높여 왔다.
의료 데이터 보안의 구조적 문제
전문가들은 의료 시스템의 디지털 전환 속도가 보안 체계 강화를 따라가지 못하고 있다고 진단한다. 보험·진료·청구·결제 등 방대한 환자 정보가 여러 기관·플랫폼을 거치면서 노출 지점이 늘어나기 때문이다. 특히 민감 정보인 사회보장번호(SSN)가 함께 노출될 경우 피해자는 장기간 신원 도용 및 의료 사기 위험에 노출된다.
미국 의료기관들은 제로 트러스트(Zero Trust) 아키텍처, 다중 인증(MFA), 정기적 침투 테스트 등을 통해 공격면을 줄여야 한다는 지적이 나온다. 또한 타사 벤더 관리와 네트워크 분리가 핵심 과제로 꼽힌다.
향후 전망
현재 피해 규모가 2억 명에 육박함에 따라 의료 데이터 보안 규제 강화가 본격 논의될 것으로 보인다. 의회에서는 데이터 침해 시 고객 통지 의무를 72시간 이내로 단축하는 법안이 재발의됐다. 업계 관계자는 “미국 전체 인구의 절반 이상이 의료정보 유출을 경험한 셈”이라며, “더 이상 단일 기업 문제가 아닌 국가적 보건안보 이슈로 접근해야 한다”고 말했다.
