美, 170만 개 이상의 심리 치료 데이터 유출

[디지털비즈온 송민경 기자] 수천 명의 환자에 대한 심리적 프로필과 치료 세션이 오픈 웹에 유출되어 MSN 등 외신이 보도했다.

1.7백만 개 이상의 활동 기록과 5.3테라바이트에 달하는 정신 건강 데이터가 헬스케어 스타트업 컨피던트 헬스(Confidant Health)에 의해 온라인에 노출되었다고 밝혀졌다. 이 정보에는 환자의 심리 프로필, 치료 세션, '원격 진료' 오디오 및 비디오, 심지어 운전면허증까지 포함되어 있어 심각한 프라이버시 침해로 평가되고 있다.

텍사스 오스틴에 기반을 둔 컨피던트 헬스는 중독 치료 및 행동 치료를 위한 '차세대 가상 케어'를 제공하겠다고 약속했지만, 비밀번호로 보호되지 않은 데이터베이스를 통해 환자의 기밀 정보를 온라인에 노출시켰다. 

이 심각한 데이터 유출은 7월에 발생한 'RockYou2024' 해킹 사건과 같은 대규모 유출 사건과 맞물려 보안 우려를 높이고 있다. 당시 해킹 사건으로 100억 개의 비밀번호가 범죄자들에게 노출되었으며, 미국 사회보장번호 대규모 유출도 발생한 바 있다.

컨피던트 헬스(Confidant Health)는 2018년에 설립되었으며, iOS 및 Android 앱을 통해 10,000회 이상 다운로드가 되었다. 현재 이 회사는 코네티컷, 뉴햄프셔, 버지니아, 텍사스, 플로리다 주에서 임상 서비스를 제공하고 있다.

사이버 보안 연구원 제레미야 파울러(Jeremiah Fowler)는 이 데이터 유출을 발견했으며, 노출된 오디오 및 비디오 파일에는 "가슴 아픈 가족 트라우마, 개인적 트라우마"가 포함되어 있었다고 설명했다. 그는 “마치 일기장에 적은 가장 깊고 어두운 비밀이 공개된 것 같다”고 비유하며, 유출된 정보가 민감한 개인 치료 내용을 담고 있다고 강조했다.

파울러는 전문 윤리로 인해 해당 파일을 다운로드하지 않았으며, 비밀번호로 보호된 데이터베이스에 접근하지 않았다고 밝혔다. 그러나 그는 헌신적인 해커라면 이러한 데이터를 손쉽게 접근할 수 있다고 경고했다. 그는 또한 "사이버 범죄자들은 무차별 공격(brute force) 및 사회 공학적 기법을 통해 보호된 파일과 문서에 무단 접근할 수 있다"고 설명했다.

파울러는 공개된 데이터 중에는 정신 치료 초기 기록, 의료 전문가의 의견이 담긴 정신 건강 평가, 약물 남용 및 가족 문제 등의 정보가 포함된 문서도 확인했다고 전했다. 또한, 행정 및 신원 확인을 위해 저장된 운전면허증, 주 발급 ID 카드 및 보험 카드와 같은 파일도 포함되어 있었다.

컨피던트 헬스(Confidant Health)의 AI 및 챗봇 시스템에서 수집된 데이터도 유출된 것으로 보인다. 컨피던트 헬스의 공동 설립자인 샘 아르세노 윌슨(Sam Arsenault Wilson)은 2022년 인터뷰에서 "데이터 중심의 환경을 구축하고 있으며, AI를 통해 예측적 제안을 제공할 계획"이라고 밝힌 바 있다.

이번 유출에는 환자의 신원 정보와 약물 검사 결과도 포함되어 있었으며, 일부 환자의 양성 약물 검사 결과(대마초 및 알코올)가 유출된 것으로 확인되었다.