헬스케어 플랫폼도 뚫렸다… Hims & Hers 데이터 유출이 던진 경고

[메타X(MetaX)] 미국 디지털 헬스케어 기업 Hims & Hers에서 고객 개인정보가 유출될 가능성이 있는 보안 사고가 발생하며 업계의 우려가 커지고 있다. 회사 측에 따르면 이번 사고는 2026년 2월 4일부터 7일 사이 고객센터 티켓 시스템에 대한 무단 접근으로 시작됐으며, 2월 5일 이상 징후가 처음 포착됐다. 이후 조사 과정을 거쳐 3월 3일 영향 범위가 확인됐고, 4월 2일 공식 통지문을 통해 이용자들에게 관련 사실이 안내됐다.

조사 결과, 유출 가능성이 있는 정보는 이름과 연락처 등 기본 개인정보와 일부 고객 문의 내용으로 확인됐다. 다만 회사 측은 의료 기록이나 의료진과의 상담 내용은 포함되지 않았다고 설명했다. 이는 헬스케어 서비스 특성상 가장 민감한 의료 정보의 유출 여부가 핵심 쟁점이었음을 보여준다.

이번 사건은 공격이 핵심 의료 시스템이 아닌 고객센터 시스템에서 발생했다는 점에서 주목된다. 일반적으로 의료 데이터가 저장된 핵심 시스템은 강력한 보안이 적용되는 반면, 고객센터와 같은 보조 시스템은 상대적으로 보안 수준이 낮은 경우가 많다. 결과적으로 가장 취약한 지점이 전체 보안을 무너뜨리는 ‘약한 고리’로 작용한 셈이다.

또한 고객센터 시스템이 외부 솔루션이나 SaaS 기반으로 운영되는 경우가 많다는 점도 중요한 배경으로 지목된다. 이러한 구조에서는 외부 플랫폼의 취약점이나 계정 관리 문제, 접근 통제 실패 등이 그대로 내부 리스크로 이어질 수 있다. 이른바 ‘플랫폼 위의 플랫폼’ 구조가 새로운 공격 표면을 만든 것이다.

특히 이번 공격은 약 3일이라는 짧은 시간 동안 발생했지만, 그 사이 데이터 접근과 정보 확보가 이뤄졌다는 점에서 주목된다. 이는 보안 위협에서 침해 속도가 탐지와 대응 속도를 앞서는 현실을 보여주는 사례로 평가된다.

이번 사건은 헬스케어 플랫폼에 대한 신뢰 문제로도 이어지고 있다. 디지털 헬스케어는 높은 수준의 개인정보 보호를 전제로 하는 산업이지만, 실제로는 고객 정보가 다양한 시스템과 외부 서비스에 분산되어 저장되는 구조를 가지고 있다. 이로 인해 한 곳에서의 보안 실패가 전체 신뢰를 흔들 수 있다는 점이 드러났다.

또한 의료 정보가 아닌 일반 개인정보만 유출됐더라도 위험성은 여전히 크다. 이메일과 문의 내용 등은 피싱 공격이나 사회공학적 해킹으로 이어질 수 있는 단서가 되기 때문이다. 이는 개인정보 역시 충분히 민감한 자산이라는 점을 다시 한번 보여준다.

회사 측은 해당 시스템을 즉시 차단하고 조사에 착수했으며, 법 집행기관에 사건을 통보하는 한편 이용자들에게 12개월간 신용 모니터링 서비스를 제공하는 등 대응에 나섰다. 이는 미국 내 데이터 유출 대응 기준에 부합하는 조치로 평가된다.

이번 사건은 디지털 헬스케어 산업의 구조적 취약성을 드러낸 사례로 해석된다. 사용자 데이터는 하나의 시스템이 아닌 서비스 본체, 고객센터, 마케팅 시스템 등 여러 계층에 분산되어 존재하며, 이 중 어느 한 곳만 취약해도 전체 보안이 무너질 수 있다. 또한 완벽한 보안은 존재하지 않으며, 사고 발생 이후 얼마나 빠르고 투명하게 대응하느냐가 신뢰를 좌우하는 요소로 부상하고 있다.

향후 업계에서는 서드파티 리스크 관리 강화, 비핵심 시스템 보안 수준 상향, 접근 권한 최소화 등 전반적인 보안 체계 재정비가 요구될 것으로 보인다. 동시에 사용자 역시 계정 활동을 점검하고 피싱 시도에 대비하는 등 보다 적극적인 보안 인식이 필요해지고 있다.

결국 이번 Hims & Hers 사건은 단순한 개인정보 유출 가능성을 넘어, 디지털 헬스케어 산업 전반에 경고를 던진다. 데이터는 가장 중요한 곳이 아니라 가장 취약한 곳에서 유출될 수 있으며, 그 결과 남는 질문은 하나다. 이용자는 과연 이 플랫폼을 계속 신뢰할 수 있는가.

[저작권자ⓒ META-X. 무단전재-재배포 금지]