사건이 일단락되는 듯하던 순간, 스타 헬스의 데이터 유출 사건이 충격적인 전환점을 맞이했다. 이번 유출 사건을 일으킨 해커의 주장에 따르면, 스타 헬스의 CISO인 아마르짓 카누자가 7.24테라바이트에 달하는 고객 데이터를 15만 달러에 해커에 판매했다.
‘젠젠(xenZen)’라는 이름의 해커는 카누자가 거래 조건을 바꾸려고 했으며, 회사의 고위 경영진이 지속적인 백도어 접근을 위해 더 많은 돈을 요구했다고 주장했다.
젠젠은 자신의 웹사이트를 통해 “스타 헬스의 CISO 아마르짓이 고객 데이터를 나에게 팔았고, 이후 회사 고위 경영진이 추가적인 백도어 접근을 위해 더 많은 돈을 요구하며 거래 조건을 바꾸려고 했다”라며 “이 데이터 유출은 애초에 스타 헬스가 직접 나에게 데이터를 판매하면서 발생한 것”이라고 주장했다.
파운드리 산하 언론사 CSO는 이에 대해 카누자에게 별도로 문의했으나 답변을 받지 못했다.
이번 유출 사건으로 7.24테라바이트에 달하는 민감한 고객 정보가 노출되었으며, 여기에는 고객의 이름, PAN 번호(한국의 주민번호와 유사한 개념의 정보), 휴대전화 번호, 이메일 주소, 생년월일, 거주지 주소, 기존 질병 정보, 보험 증권 번호, 수혜자 정보, 신장 및 체중 등의 세부 정보가 포함되었다.
해커의 폭로는 소셜 미디어에서 급속도로 퍼졌으며, 디디 다스(Deedy Das)라는 사용자가 카누자와 해커 간의 이메일 내용을 공개한 게시물이 화제가 되었다. 이 게시물에 따르면, 카누자는 CISO로서 스타 헬스의 고객 데이터를 해커에게 15만 달러에 판매한 것으로 알려졌다.
더욱 놀라운 점은, 해커가 거래가 성사된 이후 카누자가 다시 거래 조건을 바꾸려 했다는 것이다. 해커에 따르면, 내부 고위 경영진은 회사 시스템에 지속적으로 백도어(불법적인 비밀 접근 경로)를 제공하는 대가로 더 많은 돈을 요구했다고 밝혔다.
이 주장이 사실로 밝혀진다면, 이는 내부 보안 프로토콜 및 윤리 기준을 심각하게 위반한 것이며, 보험사에 법적 및 평판상의 심각한 문제를 초래할 수 있다.
스타 헬스는 성명에서 “우리는 악의적인 사이버 공격의 피해자다. 그 결과로 일부 데이터에 무단으로 접근된 것이 사실이다”라고 “우리 서비스 운영은 전혀 차질 없이 정상적으로 진행되고 있으며, 모든 서비스는 중단 없이 제공되고 있다”고 강조했다.
그러나 회사 내부의 고위 경영진이 연루되었다는 새로운 폭로는 스타 헬스의 보안 관행과 윤리에 대한 심각한 의문을 제기하고 있다. 만약 사실로 드러날 경우, 회사의 내부 데이터 관리에 깊은 취약점이 있음을 시사한다.
또한 스타헬스는 “CISO가 이번 조사에 성실히 협조하고 있으며, 현재까지 그에게 잘못이 있다고 확인된 사항은 없다”라며 “해커가 공포를 조장하려는 의도가 있다고 판단하므로, 그의 사생활을 존중해 주길 바란다. 고객 데이터의 무단 취득, 소유, 유포는 모두 불법임을 강조하고자 한다”고 전했다.
조사와 그 후속 조치
이번 데이터 유출 사건은 2024년 8월, 텔레그램 챗봇이 유출된 데이터를 제공하면서 처음으로 세상에 알려졌다. 당시 스타 헬스는 성명을 통해 민감한 고객 데이터가 대규모로 유출된 것은 아니라고 주장했으나, 이번 새로운 주장들로 인해 그 입장이 점점 더 불확실해지고 있다.
보험사는 지난 목요일 독립적인 사이버 보안 전문가들이 주도하는 철저한 포렌식 조사가 진행 중이라고 발표했다. 성명에서는 “우리는 조사 과정에서 정부 및 규제 기관과 긴밀히 협력하고 있다”고 덧붙였다.
스타 헬스는 이미 이번 유출 사건을 타밀나두 사이버 범죄 부서와 국가 사이버 보안 기관인 CERT-In에 보고한 바 있다. 회사 경영진이 이 보안 사건에 연루되었다는 의혹은 현재 진행 중인 조사를 더욱 복잡하게 만들고 있으며, 규제 기관과 법 집행 기관의 집중적인 조사가 이어질 가능성이 높다.
이번 사건은 이미 회사의 데이터 보안 인프라에 대한 우려를 불러일으켰으며, 민감한 의료 및 개인 정보를 보호할 수 있는 능력에 의문을 제기했다. 새로운 주장이 제기되면서, 스타 헬스가 내부 직원을 어떻게 검증하고 중요한 고객 데이터에 대한 접근을 어떻게 통제하는지에 대한 조명이 더 집중될 것이다.
[email protected]
Read More from This Article: 인도 보험사 CISO, 고객 데이터 판매 의혹 제기··· “해커와 협상해 15만 달러 받아”
Source: News