이제 Change Healthcare 사건은 단순한 '데이터 유출'이나 '랜섬웨어 사건'이 아니라 의료 서비스를 유지하는 데 필요한 관리 및 재무 워크플로우를 중단시킨 시스템 중단이라는 새로운 범주의 의료 위험에 대한 기준점이 되었습니다.
2024년 초, UnitedHealth Group의 자회사인 Change Healthcare는 랜섬웨어 공격을 받아 전국적인 규모의 청구 및 기타 의료 거래가 중단되는 피해를 입었습니다. 미국 병원 협회(AHA)는 환자 치료에 직접적인 영향과 중대한 재정적 혼란을 포함하여 병원에 미치는 광범위한 다운스트림 영향을 문서화했습니다. (미국 병원 협회)
2025년까지 이 이야기가 지속될 수 있었던 것은 운영 중단뿐만이 아니었습니다. 침해 범위도 문제였습니다. HHS의 시민권국(OCR)에 따르면 Change Healthcare는 다음 사항에 대해 OCR에 통보했습니다. 2025년 7월 31일 그 약 1억 9,270만 명 가 영향을 받았습니다. 로이터 통신은 나중에 HHS 데이터를 통해 업데이트된 총계와 동일한 수치를 보도했습니다. (HHS)
이 글에서는 단일 공급업체의 장애가 어떻게 전국적인 혼란으로 이어졌는지, 가장 중요한 보안 신호는 무엇인지, 의료 기관이 다음 사고의 폭발 반경을 줄일 수 있는 방법은 무엇인지 등 확인된 사실과 실질적인 방어 교훈에 초점을 맞춥니다.
일반 영어로 설명한 내용
2024년 2월, Change Healthcare는 랜섬웨어 침입으로 인해 시스템이 오프라인 상태가 되어 미국 전역에서 청구 처리 및 관련 의료 거래가 중단되는 사태를 경험했습니다. 2024년 3월에 발표된 AHA 설문조사 결과에서는 이러한 중단에 대응하는 병원 전반에 걸쳐 광범위한 재정 및 환자 치료에 미치는 영향에 대해 설명했습니다. (미국 병원 협회)
이 사고는 이후 사상 최대 규모의 의료 데이터 유출 사고로 확대되었습니다. OCR의 Change Healthcare 사고 FAQ에 따르면 Change Healthcare는 2025년 7월 31일에 약 1억 9,270만 명의 개인이 영향을 받았다고 OCR에 알렸습니다. (HHS)
보드 덱에서 사용할 수 있는 타임라인
2024년 2월 - 공개 및 운영 중단
공개 보고에서는 주요 거래 워크플로우를 중단시키고 의료 제공자와 환자에게 심각한 다운스트림 중단을 초래한 랜섬웨어 공격에 대해 설명합니다. 로이터 통신의 보고서에서는 ALPHV/BlackCat 랜섬웨어 그룹에 대한 귀속을 언급하고 청구 처리에 대한 운영상의 영향을 설명합니다. (Reuters)
2024년 3월 9일부터 12일까지 - 병원 영향 측정
AHA는 미국 병원을 대상으로 설문조사를 실시하여 광범위한 운영 및 재정적 손실을 나타내는 결과를 발표했습니다. AHA는 다음과 같이 보고했습니다. 94%의 병원 는 재정적 영향을 경험했으며, 이러한 중단으로 인해 비용이 많이 들고 노동 집약적인 해결 방법이 필요했습니다. (미국 병원 협회)
2024년 5월~6월 - ID 및 원격 액세스 세부 정보 공개
상원 재무위원회 청문회를 위해 준비된 증언에 따르면 다음과 같이 명시되어 있습니다. 2024년 2월 12일범죄자들은 손상된 자격 증명을 사용하여 원격 액세스에 사용되는 Change Healthcare Citrix 포털에 액세스했습니다. (상원 재정 위원회)
이와는 별도로, 증언을 요약한 하원 에너지 및 상무위원회 게시물에서는 중요한 시스템에 다단계 인증이 활성화되어 있지 않았다고 강조합니다. (하원 에너지 및 상업 위원회)
2025년 1월 24일 - 1억 9천만 명이 영향을 받았다고 보고됨(로이터)
로이터 통신에 따르면 유나이티드헬스는 이번 유출로 인해 다음과 같은 개인 정보가 영향을 받았다고 밝혔습니다. 1억 9천만 개인을 대상으로 하며, 최종 수치는 공식적으로 확인하여 HHS에 제출할 예정입니다. (Reuters)
2025년 7월 31일 - 1억 9,270만 건이 OCR(HHS)에 통보되었습니다.
OCR의 공식 FAQ에 따르면 Change Healthcare는 OCR에 대략 다음과 같이 통보했습니다. 192.7백만 개인이 영향을 받았습니다. (HHS)
2025년 8월 - HHS 데이터를 통해 업데이트된 총계 보고(로이터)
로이터 통신은 대략 다음과 같이 업데이트된 수치를 보도했습니다. 192.7백만 HHS OCR 데이터를 인용하여 영향을 받은 개인에 대해 설명합니다. (Reuters)
이 사건이 그토록 파괴적이었던 이유: '허브 의존성'이 이제 환자 치료의 위험이 된 이유
대부분의 랜섬웨어 사고는 한 병원이 다운되고, 한 진료소가 전환되고, 한 사업부가 암호화되는 등 국지적으로 발생합니다. Change Healthcare는 수천 명의 의료 서비스 제공자가 의존하는 관리 워크플로우의 한가운데에 위치한다는 점에서 다릅니다. 중앙 정보 센터와 같은 중개자가 장애가 발생하면 병원과 약국은 단순히 도구만 잃는 것이 아니라 처리량도 잃게 됩니다.
AHA의 보고는 실제 결과에 대해 이례적으로 직설적입니다. 설문조사 결과와 후속 논평에서 AHA는 이 사건이 환자 치료와 병원 재정에 심각한 혼란을 야기했다고 설명하며, 정보 센터를 전환하거나 거래 파이프라인을 신속하게 복제하는 것이 얼마나 어려운지 설명합니다. (미국 병원 협회)
보안의 핵심은 구조적입니다. 제3자 위험은 설문조사 문제가 아닙니다. 비즈니스 연속성과 환자 안전이 걸린 문제입니다. 비상 계획은 중요한 공급업체를 유틸리티처럼 취급해야 하며, 몇 시간이 아니라 몇 주 동안 장애가 발생할 수 있다고 가정해야 합니다.
실무에서 발생하는 문제: 현금 흐름, 승인 및 운영상의 마찰
AHA의 2024년 3월 설문조사 결과는 다운스트림 피해를 정량화했다는 점에서 중요한 데이터 포인트입니다:
- 94% 응답한 병원의 비율 재무 영향. (미국 병원 협회)
- 74% 보고 환자 치료에 직접적인 영향. (미국 병원 협회)
- 병원에서는 다음과 같은 해결 방법을 설명했습니다. 노동 집약적이고 비용이 많이 드는많은 사람들이 클리어링하우스 전환에 어려움을 겪었다고 보고했습니다. (미국 병원 협회)
이러한 세부 사항은 '기술적 복구'가 이벤트의 끝이 아닌 이유를 설명하기 때문에 중요합니다. 일부 서비스가 복구된 후에도 백로그, 수작업 처리, 재정적 부담은 계속됩니다.
투자를 정당화하려는 의료 보안 리더라면 공급업체 중심의 서비스 중단은 즉시 진료 지연, 직원 소진, 일일 수백만 달러의 매출 손실로 이어질 수 있다는 점을 명심해야 합니다.
침해 규모: 시간이 지남에 따라 증가하는 이유
대규모 의료 사고는 어떤 데이터 세트가 관련되어 있는지, 어떤 파일에 규제 정보가 포함되어 있는지, 여러 시스템에서 개인의 중복을 제거하는 방법을 파악하는 데 시간이 걸리기 때문에 '영향을 받은 개인' 수가 수개월 동안 증가하는 경우가 종종 있습니다.
이제 두 명의 권위 있는 공개 앵커가 그 규모를 정의합니다:
- HHS OCR에 따르면 Change Healthcare는 2025년 7월 31일 OCR에 다음과 같이 통보했습니다. 약 1억 9,270만 명 가 영향을 받았습니다. (HHS)
- 로이터 통신은 이전에 확인된 추정치를 다음과 같이 보도했습니다. 1억 9천만 (2025년 1월) 이후 업데이트된 192.7백만 수치입니다. (Reuters)
사고 대응 계획의 교훈은 간단합니다. 운영 사고는 1단계이고, 침해 알림 및 규제 단계는 1년 이상 지속되는 2단계가 될 수 있습니다.
관련되었을 수 있는 데이터(위험 기반 보기)
로이터 통신은 이 사건에 대한 보도에서 의료 보험 식별자, 진단, 치료 및 청구 세부 정보, 사회 보장 번호와 같은 잠재적으로 유출된 범주를 설명하면서 전자 의료 기록 데이터베이스가 유출되었다는 증거는 보지 못했다고 보도했습니다. (Reuters)
데이터 세트가 청구 및 관리 정보로만 구성되어 있더라도 신원과 의료 컨텍스트가 결합되어 있기 때문에 위험은 여전히 심각할 수 있습니다. 이러한 조합이 가능합니다:
- 의료 신원 사기 및 보험 남용
- 표적 사회 공학(사기꾼은 귀하의 보험사가 누구인지, 귀하가 어떤 보험사를 언제 만났는지 알고 있음)
- 청구 코드에 민감한 상태 또는 치료가 암시되어 있는 경우 강탈 위험
- 의료 식별자 및 기록은 비밀번호처럼 '회전'하지 않기 때문에 오래 지속되는 해로움
이를 내부적으로 전달하는 올바른 방법은 "전체 차트를 포함했느냐"가 아니라 "오용 가능성"입니다. 청구 및 청구 데이터는 심각한 피해를 야기할 수 있습니다.
예산을 변경해야 하는 근본 원인 신호: ID 및 원격 액세스 제어
의회 자료와 관련 보고에서 반복되는 주제는 원격 액세스 인프라에 사용되는 인증정보가 손상되고 침입 경로와 관련된 중요 시스템에 대한 다단계 인증의 취약점 등 신원 확인 실패입니다.
상원 재무 위원회를 위해 준비된 증언에 따르면 2024년 2월 12일에 Citrix 포털에 액세스하는 데 사용된 자격 증명이 손상된 것으로 나타났습니다. (상원 재정 위원회)
하원 에너지 및 상업부 요약에 따르면 가장 중요한 시스템 중 하나에 대해 다단계 인증이 활성화되지 않았다고 명시되어 있습니다. (하원 에너지 및 상업 위원회)
많은 조직이 여기서 잘못된 교훈을 얻습니다. '헤드라인'은 랜섬웨어일 수 있지만 진입 경로는 전형적인 신원 문제였습니다. 여전히 MFA 적용 범위를 "대부분 완료된" 프로젝트로 취급하고 있다면 이 사건을 경고로 받아들여야 합니다.
2025년의 '좋은'은 어떤 모습일까요?
- 모든 원격 액세스 경로와 모든 권한 있는 워크플로우에 대한 지속적인 유효성 검사를 통한 MFA
- 조건부 액세스(디바이스 상태, 지리적 이상, 불가능한 여행, 위험 기반 문제)
- 짧은 세션 수명 및 권한 있는 세션의 적극적인 해지
- 권한 있는 관리자 액세스를 제거하기 위한 권한 액세스 관리(PAM)
- 신원 이상 징후를 가장 빠른 고신뢰 신호로 처리하는 모니터링
대부분의 랜섬웨어 사고는 신원 유출이 측면 이동과 광범위한 접근으로 이어질 때 치명적인 결과를 초래합니다. 이러한 변형을 줄이는 것이 과제입니다.
정책이 변화하는 이유 HIPAA 보안 규정 현대화
의료 서비스 변경이 유일한 동인은 아니었지만, 의료 사이버 보안 요건을 강화하는 데 있어 주요한 기준점이 되었습니다. 2024년 말, HHS OCR은 전자 보호 의료 정보를 더 잘 보호하기 위해 HIPAA 보안 규칙을 수정하는 규칙안을 발표했으며, 로이터는 대규모 의료 사고 이후 행정부가 새로운 사이버 보안 규칙을 추진하고 있다고 보도했습니다. (HHS)
최종 규제 결과를 예측하고 싶지 않더라도 방향은 분명합니다. 더 구체적이고, 더 많은 필수 제어가 필요하며, '해결 가능한' 보안 기본 사항을 선택 사항으로 취급하는 것에 대한 관용은 줄어들 것입니다.
의료 기관이 다음에 해야 할 일: 실용적인 90일 계획
이 글을 다 읽은 후에 중요한 부분은 어떤 변화가 위험을 측정 가능하게 줄일 수 있는가 하는 부분입니다.
0~30일: 진정한 '시스템 종속성' 매핑하기
청구 제출, 자격 확인, 사전 승인, 약국 청구 라우팅, EDI 흐름, 환자 청구 등 2~3주 동안 사용할 수 없는 경우 중단될 수 있는 타사를 나열합니다.
그런 다음 각 종속성에 대한 "성능 저하 모드" 플레이북을 작성하세요. 완벽하게 만들지 마세요. 어떤 수동 단계가 있는지, 어떤 대체 채널이 있는지, 누가 예외를 승인하는지, 어떻게 관리 흐름을 유지하는지 등 실행 가능한 것으로 만들어야 합니다.
AHA의 조사 결과는 어려운 진실을 보여줍니다. 해결 방법은 설계 또는 긴급 즉흥적으로 이루어집니다. 설계하는 것이 더 저렴합니다. (미국 병원 협회)
31~60일: 랜섬웨어의 수익성보다 ID 실패를 더 어렵게 만들기
의료 서비스 ID 변경 신호를 강제 기능으로 사용합니다:
- MFA 격차 해소(원격 액세스, 관리자 경로, 공급업체 액세스 순으로)
- 상시 관리자 권한 제거 및 적시 액세스 구현
- 서비스 계정 확산 및 회전 비밀 강화
- 원격 액세스 인벤토리 감사(Citrix, VPN, VDI, RDP 게이트웨이, SSO 앱, 파트너 포털)
이는 진입 확률과 에스컬레이션 속도를 줄일 수 있는 가장 빠른 방법입니다.
61-90일차: 폭발 반경 감소 및 복구 가능성 입증
세분화는 워크플로우와 핵심 요소를 반영해야 합니다. 목표는 "하나의 거점"이 "전사적인 암호화 및 유출"이 되는 것을 방지하는 것입니다.
그런 다음 공급업체가 몇 주 동안 다운되었다고 가정하여 현실적인 제약 조건에서 복구 및 연속성을 테스트합니다. 재무, 운영, 임상 리더십, 법무, 커뮤니케이션 팀과 함께 연습을 실행하세요. 봉쇄 시간 및 복구 시간을 측정하세요.
측정할 수 없으면 개선할 수 없습니다.
펜리전트의 적용 방법(손으로 흔드는 약속이 아닌 증거 우선의 보안)
Change Healthcare 사건은 원격 액세스 노출, ID 제어 공백, 지나치게 신뢰하는 통합, 인증 취약점, 광범위한 측면 이동을 허용하는 아키텍처 등의 조합으로 인해 치명적인 결과가 초래되는 경우가 많다는 점을 강조합니다.
Penligent.ai는 웹 앱, API, 통합 워크플로 전반에서 현실적인 공격 경로를 식별한 다음 엔지니어링 팀이 수정하고 경영진이 우선순위를 정할 수 있는 실행 가능한 증거를 생성하는 증거 우선 보안 테스트를 기반으로 구축되었습니다. 파트너 포털, 청구 관련 API, ID가 많은 워크플로우가 있는 의료 환경에서는 지속적인 검증을 통해 영향력이 큰 약점이 시스템 중단으로 이어지기 전에 조기에 발견할 수 있습니다.
자주 묻는 질문
Change Healthcare 침해로 인해 영향을 받은 사람은 몇 명인가요?
HHS OCR에 따르면 Change Healthcare는 2025년 7월 31일 OCR에 다음과 같이 통보했습니다. 1억 9,270만 명의 개인 가 영향을 받았습니다. (HHS)
병원에서 환자 치료에 미치는 영향을 보고했나요?
예. AHA 설문조사 결과 보고 74% 의 병원이 환자 진료에 직접적인 영향을 미쳤으며 94% 재정적 영향을 경험했습니다. (미국 병원 협회)
방어자가 기억해야 할 초기 액세스 신호는 무엇인가요?
준비된 증언에 따르면 원격 액세스 포털에 사용된 인증정보가 손상되었으며, 의회 요약본에서는 중요한 시스템에서 MFA가 활성화되지 않았다고 강조했습니다. (상원 재정 위원회)
이와 같은 사건으로 인해 의료 사이버 보안 규정이 바뀌고 있나요?
HHS OCR은 HIPAA 보안 규칙 요건을 현대화하고 강화하기 위한 변경 사항을 제안했으며, 보고는 이를 주요 의료 사고와 연계하고 있습니다. (HHS)
