NHS 소프트웨어 제공업체, 해킹으로 3백만 파운드 벌금…"보안이 부족했다"

최근 영국 정보 보호 당국(ICO)이 NHS(영국 국민보건서비스) 소프트웨어 제공업체인 Advanced Computer Software Group에 300만 파운드(약 51억 원) 벌금을 부과했습니다.
이유는 바로 2022년 발생한 랜섬웨어 공격 때문인데요. 해당 보안 사고로 인해 NHS 환자 79,404명의 개인 정보가 유출되었고, 심지어 환자의 의료 기록과 자택 출입 방법까지 해커들에게 노출됐다고 합니다.

🔥 보안 실패, 어떤 일이 벌어졌나?

이번 해킹 사건은 기업의 보안 허점에서 비롯됐습니다.
해커들은 다름 아닌 보안이 취약한 고객 계정을 통해 시스템에 침입했고,
이 고객 계정에는 멀티 팩터 인증(MFA)(추가 본인 인증 과정)이 설정되어 있지 않았다고 합니다.
즉, ID와 비밀번호만 획득하면 누구나 접근할 수 있는 상태였다는 것이죠.

그 결과:
✔ NHS 111(응급 의료 상담 서비스) 마비
✔ 환자 예약 및 기록 접속 차단
✔ 일부 의료진이 필수 데이터를 확인하지 못하는 사태 발생

NHS와 같은 국가 의료 시스템의 핵심 부문이 멈추면서 심각한 의료 서비스 지연이 발생했고, 환자들의 서비스 이용이 차질을 빚었습니다.

🚨 "이건 심각한 문제다" – 영국 정보 보호 당국의 경고

이미 지난해 ICO는 Advanced 사의 보안 부족을 강하게 비판한 바 있습니다.
**정보 커미셔너(John Edwards)**는 이번 벌금 결정과 관련해
"이 정도의 규모와 민감한 데이터를 다루는 기업이라면 보다 강력한 보안 조치를 갖춰야 한다"고 강조했는데요.

특히, Advanced가 일부 시스템에는 멀티 팩터 인증을 적용했지만, 전체 시스템에는 하지 않았다는 점이 강하게 비판받았습니다.
결국 중요한 보안 취약점이 뚫리면서 이번 사고가 발생한 것이죠.

Edwards 위원은 **"더 이상 보안 허점은 용납되지 않는다. 어떤 시스템이든 취약점을 방치해서는 안 된다"**라고 강조했습니다.

📉 최초 벌금은 600만 파운드 → 절반 감경된 이유는?

ICO는 원래 600만 파운드(약 102억 원)의 벌금을 부과할 예정이었지만,
Advanced가 해킹 사고 이후 경찰, 사이버 보안 기관 및 NHS와 적극 협력한 점을 고려해 벌금을 절반으로 줄였습니다.

하지만 여전히 보안 관리 소홀에 대한 책임은 면할 수 없다는 것이 당국의 입장입니다.

🔎 기업들이 배워야 할 보안 교훈

이번 사건은 기업 보안 시스템이 얼마나 중요한지 다시 한번 일깨워 준 사례입니다.
🔹 모든 시스템에 멀티 팩터 인증(MFA) 적용 필수
🔹 고객 계정 및 내부 사용자의 접근 권한 철저한 관리
🔹 보안 점검 및 시뮬레이션 테스트 정기적 수행

해킹 공격은 점점 더 정교해지고 있으며, 보안 의식이 부족한 조직은 언제든 피해자가 될 수 있습니다.
특히, 의료 데이터와 같은 민감한 정보를 다루는 기업이라면 더 철저한 보안 프로토콜을 구축해야 한다는 점이 이번 사례로 명확해졌습니다.

이번 사건을 통해, 기업들이 자신의 보안 시스템을 재점검하는 계기가 되길 바랍니다.
✅ 여러분의 회사는 정말 안전한가요?
지금이라도 보안 점검 체크리스트를 점검해야 할 때입니다! 🚨