230만 명 의료정보 유출, 의약품 플랫폼 해킹이 드러낸 헬스케어 보안의 민낯
의약품 결제 플랫폼 크레소티(Curesoti)가 외부 해킹 공격으로 약 230만 명의 처방전 정보와 복용 약물 내역, 건강 데이터를 유출했다. 민감한 의료정보가 대량 노출됨에 따라 보이스피싱, 보험사기, 협박 등 2차 피해 우려가 커지고 있다. --- 사건 개요
https://privacynews.kr/s/b2b5c3의약품 결제 플랫폼 크레소티(Curesoti)가 외부 해킹 공격으로 약 230만 명의 처방전 정보와 복용 약물 내역, 건강 데이터를 유출했다. 민감한 의료정보가 대량 노출됨에 따라 보이스피싱, 보험사기, 협박 등 2차 피해 우려가 커지고 있다.
사건 개요
크레소티는 온라인으로 처방전을 전송받아 의약품 결제와 배송을 중개하는 플랫폼이다. 이번 해킹으로 유출된 정보는 단순 개인식별정보를 넘어선다. 처방전에 기재된 질병명, 복용 중인 약물 종류와 용량, 과거 처방 이력 등 민감정보(건강정보)가 포함되어 있어 피해 규모와 심각성이 일반 유출 사고와 차원이 다르다.
특히 우려되는 것은 2차 피해 가능성이다. 유출된 의료정보를 활용하면 피해자의 건강 상태를 특정할 수 있어, "○○ 약을 복용 중이신 것 같은데"라는 식의 정교한 보이스피싱이 가능해진다. 또한 보험사기 조직이 특정 질환자를 타겟으로 접근하거나, 정신건강 관련 처방 이력을 빌미로 협박하는 시나리오도 배제할 수 없다.
헬스케어 플랫폼 보안 취약점, 반복되는 패턴
이번 사고는 헬스케어 스타트업과 플랫폼의 구조적 보안 취약점을 다시 한번 드러냈다.
첫째, 급성장하는 서비스 대비 보안 투자 지연이다. 비대면 의료 확대로 의약품 배송 플랫폼이 급성장했지만, 보안 인프라는 이를 따라가지 못하는 경우가 많다.
둘째, 민감정보 암호화 미흡 가능성이다. 개인정보보호법상 건강정보는 민감정보로 분류되어 추가적인 안전조치가 요구되지만, 실제 현장에서는 일반 개인정보 수준으로만 관리되는 사례가 빈번하다.
셋째, 외부 해킹에 대한 탐지·대응 체계 부재다. 침입 탐지 시스템(IDS), 보안관제(SOC) 등 실시간 모니터링 체계가 갖춰지지 않으면 해킹 발생 후에도 장기간 인지하지 못하는 상황이 발생한다.
기업·기관이 나아가야 할 방향
1. 민감정보 특별 보호조치 강화 건강정보를 처리하는 기업은 개인정보보호법 제23조에 따라 별도의 동의를 받고, 암호화 등 추가적 안전조치를 의무적으로 적용해야 한다.
2. ISMS-P 인증 취득 및 유지 일정 규모 이상의 헬스케어 플랫폼은 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 통해 체계적인 보안 관리 시스템을 구축해야 한다.
3. 침해사고 대응계획 수립 해킹 발생 시 72시간 내 신고, 피해자 통지, 증거 보전 등을 포함한 침해사고 대응 매뉴얼을 사전에 마련하고 정기적으로 모의훈련을 실시해야 한다.
4. 2차 피해 방지를 위한 선제적 안내 유출 기업은 피해자에게 유출 항목과 함께 예상되는 사기 수법, 대응 방법을 구체적으로 안내하여 2차 피해를 최소화해야 한다.
>📚 CPPG·ISMS-P 시험 연계 포인트
>민감정보의 정의와 처리 제한 (개인정보보호법 제23조)
건강에 관한 정보는 민감정보에 해당하며, 정보주체의 별도 동의 또는 법령상 근거 없이는 처리할 수 없다. 또한 민감정보 처리 시에는 일반 개인정보보다 강화된 안전조치(암호화, 접근권한 최소화 등)를 적용해야 한다. 이번 사례처럼 건강정보가 유출될 경우 정보주체에게 회복하기 어려운 피해를 줄 수 있어, 시험에서는 민감정보의 범위, 처리 요건, 안전조치 의무를 함께 묻는 문제가 자주 출제된다.
백남정 기자 / 개인정보보호 전문 데스크

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)