사이버 공격으로 79,000명의 NHS 환자 데이터가 노출된 Advanced에 3백만 파운드의 과태료 부과

NHS의 주요 소프트웨어 공급업체가 2022년 랜섬웨어 공격 전에 적절한 보안 조치를 시행하지 않아 79,000명의 개인 정보가 노출되었고, 이로 인해 £3.07 백만의 벌금을 부과받았습니다. 이는 영국의 데이터 보호 규제기관 (ICO)가 확인한 바입니다.

고급 컴퓨터 소프트웨어 그룹 주식회사(Advanced)는 시스템이 완전한 다중 요소 인증(MFA)을 구현하지 못해 데이터 보호 규정을 위반한 죄로 ICO로부터 패널티를 받았습니다.

공격자들은 이 보안 약점을 이용하여 회사의 건강 및 병원 부문에 침입하고, NHS 111 서비스를 방해하면서 민감한 데이터를 훔쳤다는 것이 ICO에서 지적되었습니다.

영국 정보위원인 존 에드워즈는 Advanced의 자회사 운영에서 발견된 보안 약점에 대해 실망감을 표현하였습니다.

“Advanced는 많은 시스템에 다중 요소 인증을 설치했으나, 완전한 커버리지가 부족하여 해커들이 접근할 수 있었고, 이로 인해 수천 명의 사람들의 민감한 개인 정보가 위험에 처하게 되었다”라고 그는 ICO에서 보도한 바에 따라 밝혔다.

“사람들은 본인의 의료 기록이 안전한 손에 있는지를 두 번 생각할 필요가 없어야 합니다. 서비스를 신뢰하게 사용하려면, 개인 정보를 사용하든, 공유하든, 다른 사람들을 대신해 저장하든, 그 어떤 조직이든 그들의 개인 정보를 접촉하는 모든 조직이 그것을 보호하기 위한 법적 의무를 이행하고 있음을 믿을 수 있어야 합니다.”라고 그는 덧붙였다.

LockBit 랜섬웨어 그룹이 네트워크 전반에 걸쳐 광범위한 시스템 중단을 야기하는 공격을 수행했습니다. BBC의 보도에 따르면, 의료 종사자들은 환자 기록에 접근하는 능력을 잃었으며, 재가 보호를 받는 890명의 사람들의 집 입장 정보가 무단으로 노출되었습니다.

ICO는 처음에 벌금을 £6.09 백만으로 설정했지만, Advanced의 법 집행 및 사이버 보안 기관과의 협력, 예를 들어 국가 사이버 보안 센터(NCSC)와 국가 범죄 기관(NCA)에 따라 이를 줄였습니다.

해당 회사는 아무런 이의제기 없이 ICO의 결정을 받아들이고, 항고를 제기하지 않기로 선택했습니다.