제3자 계약업체 통한 사회공학적 공격 노출... "운영에 중대한 영향은 없어"
공시에 따르면 어댑트헬스는 지난 6월 15일 회사 시스템에서 데이터를 획득했다고 주장하는 협박 행위자로부터 연락을 받았다. 조사 결과, 협박 행위자는 회사의 클라우드 기반 비즈니스 애플리케이션에 무단 접근한 것으로 나타났다. 여기에는 일부 내부 환자 관리 시스템과 문서 저장 플랫폼이 포함된다.
유출된 데이터에는 보험 청구와 관련된 비밀번호 파일과 환자의 개인식별정보(PII) 및 보호대상 건강정보(PHI)가 포함됐다. 또한 외부 전자 건강 기록 시스템 포털도 협박 행위자에 의해 무단 접근된 것으로 확인됐다. 다만 어댑트헬스는 해당 시스템에서 사회보장번호(SSN)를 수집하지 않으며, 개인 금융 계좌 정보나 결제 카드 정보도 저장하지 않아 이들 정보는 침해되지 않았다고 밝혔다.
이번 사고는 제3자 계약업체와 관련된 사용자 세션을 침해한 사회공학적(social engineering) 공격으로 인해 발생했다. 어댑트헬스는 사고를 감지한 즉시 해당 사용자 계정을 비활성화하고, 영향을 받은 자격 증명을 재설정했으며, 추가적인 접근 통제를 적용하는 등 즉각적인 조치를 취해 현재 사고가 수습(contained)된 상태라고 설명했다.
현재 어댑트헬스는 외부 포렌식 팀과 함께 사고의 구체적인 성격과 범위를 조사하고 있으며, 영향을 받은 전체 데이터의 구체적인 규모는 아직 파악되지 않았다고 전했다.
어댑트헬스는 이번 사고가 현재까지 회사의 운영에 중대한 영향을 미치지 않았으며 환자 서비스 제공 능력에도 지장이 없다고 밝혔다. 다만 복구 및 대응 비용, 법적·규제적 문제, 평판 영향 등을 포함한 최종적인 재무적 영향은 현재 시점에서 완전히 파악할 수 없다고 덧붙였다. 회사는 관련 손실을 보상받을 수 있는 사이버 보안 보험을 유지하고 있다.
#어댑트헬스 #AHCO #사이버보안 #해킹
※ 본 보고서는 AI가 생성한 참고 자료로, 번역 과정 및 기사 작성 과정에서 문맥상 오류가 포함될 수 있습니다.
투자 판단의 최종 책임은 투자자 본인에게 있으며, 본 자료를 투자 결정의 근거로 단독 활용하지 않도록 주의하시기 바랍니다.
데이터투자 공시팀 pr@datatooza.com














