속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

크레소티 해킹으로 230만 명 의료정보 유출…헬스케어 보안 취약점 드러나

의약품 구매결제 서비스 크레소티가 해킹 공격을 받아 230만 명의 민감한 의료정보가 유출됐다. 처방전·건강정보 등 민감정보 보호 실패로 헬스케어 산업의 보안 강화 필요성이 대두되고 있다.

백남정 기자
입력 2026년 7월 12일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/545de9

핵심 요약

- 의약품 구매결제 서비스 크레소티가 2026년 6월 해킹 공격을 받아 약 230만 명의 개인정보 유출 - 처방전 정보, 건강 관련 데이터 등 「개인정보 보호법」상 민감정보에 해당하는 의료정보 다수 포함 - 헬스케어 핀테크 서비스의 보안 취약점과 민감정보 처리 시스템의 근본적 보안 강화 필요성 부각

주요 내용

의약품 온라인 구매 및 결제 서비스를 제공하는 크레소티(Cresoty)가 2026년 6월 해킹 공격을 받아 약 230만 명의 개인정보가 유출되는 대규모 침해사고가 발생했다. 이번 사고는 헬스케어와 핀테크가 결합된 서비스 영역에서 발생한 만큼, 일반 개인정보뿐 아니라 처방전 정보, 복용 약물 정보, 건강 상태 등 민감정보가 대거 포함된 것으로 파악되고 있다.

크레소티는 의사의 처방전을 기반으로 의약품을 온라인으로 주문하고 결제할 수 있는 플랫폼을 운영하며, 약국과 환자를 연결하는 중개 서비스를 제공해왔다. 이 과정에서 처리되는 정보에는 성명, 주민등록번호, 연락처 등 기본 개인정보 외에도 처방 의약품 내역, 질병 정보, 건강 상태 등 「개인정보 보호법」 제23조에서 규정하는 민감정보가 필수적으로 포함된다. 이러한 정보는 2차 피해 가능성이 높고 회복이 어려워 일반 개인정보보다 훨씬 엄격한 보호조치가 요구된다.

유출 경로는 외부 해킹 공격으로 확인됐으며, 공격자는 시스템 취약점을 이용해 데이터베이스에 무단 접근한 것으로 추정된다. 크레소티 측은 사고 발견 즉시 한국인터넷진흥원(KISA)에 신고했으며, 개인정보보호위원회와 협력해 피해 범위 확인 및 후속 조치를 진행 중이라고 밝혔다. 그러나 사고 발생 시점과 발견 시점 간 시차, 구체적인 취약점 유형 등에 대해서는 아직 상세한 정보가 공개되지 않았다.

헬스케어 서비스 특성상 이번 유출 정보는 보이스피싱, 스미싱은 물론 특정 질병 환자를 겨냥한 사기, 보험사기, 의료정보 기반 신원 도용 등 다양한 2차 범죄에 악용될 가능성이 크다. 특히 만성질환자나 희귀질환 치료제 복용자의 경우 표적 공격의 대상이 될 위험이 있어, 피해자들은 당분간 개인정보 도용 및 금융사기 시도에 각별한 주의가 필요하다.

전문가 시각

헬스케어 핀테크 영역은 의료정보와 결제정보가 결합되어 있어 개인정보보호 측면에서 이중의 위험을 내재하고 있다. 이번 크레소티 사고는 단순한 기술적 취약점을 넘어, 민감정보 처리 사업자로서의 보안 거버넌스 체계가 제대로 작동했는지에 대한 근본적 의문을 제기한다. 특히 처방전 정보는 「의료법」과 「개인정보 보호법」의 교차 적용을 받는 영역으로, 법적 책임 소재 판단 시 양 법률의 요구사항을 모두 충족했는지가 핵심 쟁점이 될 것이다.

실무적으로 헬스케어 서비스 제공 기업은 민감정보의 수집·이용·제공 단계별로 별도 동의를 받고, 암호화·접근통제·로그 관리 등 기술적 보호조치를 일반 정보 대비 강화해야 한다. 특히 ISMS-P 인증 의무대상 여부와 무관하게, 민감정보 처리량이 많은 기업은 자발적으로 인증 수준의 보안 체계를 구축하는 것이 법적 리스크 관리 측면에서 필수적이다. 이번 사고를 계기로 헬스케어 플랫폼 사업자들은 침해사고 대응 체계, 취약점 점검 주기, 제3자 보안 감사 등을 재점검해야 할 시점이다.

ISMS-P 심사원 체크포인트

1. 2.8.2 개인정보 수집 시 동의(민감정보) 처방전, 복용 약물, 건강 정보 등 민감정보 수집 시 「개인정보 보호법」 제23조에 따라 별도 동의를 명확히 구분하여 받았는지 확인해야 한다. 심사 시에는 동의서 양식, 동의 절차의 분리 여부, 민감정보 항목의 명시성을 점검하며, 포괄 동의나 묵시적 동의가 아닌 명시적 사전 동의가 이루어졌는지가 핵심이다. 또한 「의료법」상 전자처방전 관리 의무와의 정합성도 함께 검토되어야 한다.

2. 2.9.3 암호화 적용 민감정보는 전송 구간뿐 아니라 저장 시에도 안전한 암호 알고리즘(예: AES-256)을 적용해 암호화해야 한다. 심사 시 DB 암호화 적용 범위, 암호키 관리 체계(키 분리 보관, 접근 통제, 주기적 갱신), 암호화 적용 예외 사항의 타당성을 중점 점검한다. 특히 개발·테스트 환경으로의 실 데이터 이전 시 마스킹·가명처리 여부도 함께 확인한다. 관련 법적 근거는 「개인정보의 안전성 확보조치 기준」 제7조(개인정보의 암호화)다.

3. 2.10.1 접근권한 관리 및 2.11.4 침해사고 탐지 및 대응 민감정보 처리 시스템에 대한 접근권한은 최소권한 원칙과 역할 기반 접근통제(RBAC)로 관리되어야 하며, 특히 DB 직접 접근은 엄격히 제한하고 모든 접근 이력을 로그로 기록·보관해야 한다. 또한 실시간 침해 탐지 체계(IDS/IPS, 이상징후 모니터링)와 사고 발견 시 즉각 대응할 수 있는 대응 조직·절차·훈련 이력이 갖춰져 있는지 심사한다. 「개인정보 보호법」 제34조(개인정보 유출 통지 등) 및 시행령 제38조의4(개인정보 유출 신고)에 따른 통지·신고 의무 이행 여부도 후속 점검 대상이다.

CPPG·ISMS-P 연계 포인트

민감정보의 법적 정의와 보호 강화 의무 「개인정보 보호법」 제23조는 사상·신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강·성생활, 유전정보·생체정보 등을 민감정보로 정의하고, 정보주체의 별도 동의 없이는 처리를 금지한다. 처방전·복용약물 정보는 '건강에 관한 정보'로서 민감정보에 해당하며, 일반 개인정보 대비 암호화·접근통제·파기 등 모든 단계에서 강화된 안전조치가 법적으로 요구된다.

침해사고 통지 및 신고 의무의 시기와 범위 개인정보 유출 시 사업자는 지체 없이 해당 정보주체에게 유출 사실·항목·시점·대응조치·연락처 등을 통지하고, 1,000명 이상 또는 민감정보·고유식별정보 500명 이상 유출 시에는 개인정보보호위원회 또는 전문기관(KISA)에 신고해야 한다(법 제34조, 시행령 제38조의4). 통지 지연이나 축소 은폐 시 과징금·과태료 외에도 형사처벌 대상이 될 수 있어, 사전에 침해사고 대응 절차를 명문화하고 정기 훈련을 실시하는 것이 중요하다.

#크레소티#의료정보유출#헬스케어보안#ISMS-P#민감정보
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사