미국 루이지애나 주에 위치한 레이크찰스 메모리얼 병원 시스템(LCMHS, Lake Charles Memorial Health System)이 랜섬웨어 공격을 받아 환자 26만 9752명의 개인정보가 유출되는 사고가 발생했다. LCMHS는 루이지애나주 남서부에서 가장 큰 규모의 비영리 지역 사회 의료 시스템이다.
이번 공격은 2022년 10월 21일 병원 내부 보안 팀에 의해 발견됐다. 보안팀에 따르면, 공격자는 환자의 이름, 주소, 생년월일, 의료 기록, 환자 식별 번호, 건강 보험 정보, 결제 정보, 받은 치료 관련 임상 정보, 사회 보장 번호 등 다양한 정보를 해킹했다. 다만 전자 의료 기록에는 접근하지 못했다.
현재 병원은 디지털 포렌식 전문가의 도움을 받아 조사를 시작했으며, 2022년 12월 23일부터 우편을 통해 정보가 유출된 사실을 환자들에게 알리고 있다.
통지서에는 랜섬웨어 공격에 대한 기술적인 세부 정보는 포함되지 않았으며, 앞으로 신용 모니터링 및 신원 도용 보호 서비스를 제공하겠다는 내용이 담긴 것으로 알려졌다.
한편, 하이브(Hive) 랜섬웨어 집단은 2022년 11월 15일 Tor 데이터 유출 사이트의 피해자 목록에 LCMHS를 추가했으며, 계약서, 자재 청구서, 의료 정보, 의료 기록, 스캔 등 LCMHS 시스템에서 해킹한 것으로 보이는 다수의 파일을 게시했다.
이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
