속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

크레소티 해킹, 230만 명 처방전·복용약 유출…2차 범죄 '시한폭탄'

--- 의약품 결제 플랫폼 크레소티가 해킹 공격으로 230만 명의 민감한 의료정보를 유출했다. 처방전 정보, 복용 약물 내역, 건강 데이터 등이 포함되어 보이스피싱·보험사기 등 2차 피해가 우려된다. --- 사고 개요 의약품 구매결제 플랫폼 '크레소티'가 외부

백남정 기자
입력 2026년 7월 12일
단축URLhttps://privacynews.kr/s/eff4e0

의약품 결제 플랫폼 크레소티가 해킹 공격으로 230만 명의 민감한 의료정보를 유출했다. 처방전 정보, 복용 약물 내역, 건강 데이터 등이 포함되어 보이스피싱·보험사기 등 2차 피해가 우려된다.


사고 개요

의약품 구매결제 플랫폼 '크레소티'가 외부 해킹 공격을 받아 대규모 개인정보 침해사고가 발생했다. 유출된 정보는 약 230만 명에 달하는 이용자의 처방전 정보, 복용 약물 내역, 건강 관련 데이터 등으로, 개인정보보호법상 '민감정보'에 해당하는 의료정보가 대량으로 노출된 것으로 확인됐다.

크레소티는 약국·병원과 연계해 처방전 기반 의약품 결제 서비스를 제공하는 플랫폼으로, 이용자들의 상세한 의료 이력을 보유하고 있어 해커들의 주요 타깃이 되어왔다.


유출 정보 분석 및 위험성

이번 사고의 심각성은 단순 개인식별정보를 넘어 민감정보가 유출되었다는 점에 있다. 유출된 정보를 항목별로 분류하면 다음과 같다.

유출 항목세부 내용2차 피해 위험
처방전 정보진료과목, 처방의, 처방일자보험사기 악용
복용 약물약품명, 복용량, 기간맞춤형 피싱
건강 데이터질병 이력, 건강상태협박·갈취

특히 정신건강의학과 처방 내역, 성병 치료제, 희귀질환 약물 등 민감한 질병 정보가 포함된 경우, 피해자에 대한 협박이나 사회적 낙인으로 이어질 수 있다. 실제로 다크웹에서 의료정보는 금융정보보다 10배 이상 높은 가격에 거래되는 것으로 알려져 있다.


공통 패턴: 의료 플랫폼 보안 취약점

최근 의료·헬스케어 플랫폼 대상 해킹 사고가 급증하고 있다. 공통적인 취약점으로는 △API 보안 미흡 △접근통제 부실 △암호화 미적용 △보안 모니터링 부재 등이 지목된다.

의료정보를 다루는 플랫폼들은 서비스 편의성에 집중한 나머지, 개인정보 보호조치 의무를 소홀히 하는 경향이 있다. 개인정보보호법 제29조(안전조치의무)와 제23조(민감정보 처리 제한)를 준수하지 않을 경우, 과징금 부과와 함께 형사처벌까지 받을 수 있다.


기업·기관 대응 방안

크레소티를 비롯한 의료정보 처리 기업은 다음과 같은 조치를 즉각 이행해야 한다.

  • 침해사고 신고 및 통지: 개인정보보호위원회·KISA 신고(72시간 내) 및 이용자 개별 통지
  • 피해 최소화 조치: 유출 경로 차단, 추가 피해 방지를 위한 비밀번호 변경 안내
  • 민감정보 암호화 강화: 저장·전송 시 강력한 암호화 알고리즘 적용
  • ISMS-P 인증 취득: 의료정보 처리 기업의 정보보호 관리체계 수립 필수

이용자들은 크레소티 명의 문자·전화를 주의하고, 보험사 이상 청구 여부를 점검해야 한다.


📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제23조(민감정보의 처리 제한)

>

건강, 유전정보, 범죄경력 등 민감정보는 정보주체의 별도 동의 또는 법령의 근거 없이 처리할 수 없다. 의료정보(처방전, 복용약물, 질병이력)는 대표적인 민감정보로, 수집 시 일반 개인정보와 분리하여 별도 동의를 받아야 하며, 안전조치(암호화 등)를 강화해야 한다. ISMS-P 인증 심사 시 민감정보 처리 현황 및 보호조치 적정성이 핵심 점검 항목이다.


백남정 기자 namjeong@privacynews.kr

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사