미국 의료보험청구 시장 40% 점유 체인지헬스케어, 1억 명 개인정보 유출 후 재개… 의료기관 누적 피해액 수조 원 달해
미국 최대 의료보험청구 처리업체인 체인지헬스케어(Change Healthcare)가 대규모 랜섬웨어 공격으로 서비스가 중단된 지 9개월 만에 정상화됐다. 이번 사태로 미국 전체 인구의 3분의 1에 해당하는 1억 명의 개인의료정보가 유출되며 미국 역사상 최대 규모의 의료정보 유출 사고로 기록됐다.
21일 체인지헬스케어 측은 지난 2월 발생한 랜섬웨어 공격으로 중단됐던 의료보험청구 처리 서비스를 전면 재개했다고 밝혔다. 체인지헬스케어는 연간 150억 건의 의료보험청구를 처리하는 업계 최대 기업으로, 미국 의료보험청구 시장의 약 40%를 차지하고 있다.
미국병원협회(AHA)의 조사에 따르면, 이번 사태로 미국 전역 병원의 94%가 재정적 타격을 입었으며, 절반 이상이 ‘심각한 수준’이라고 응답했다. 특히 80% 이상의 병원이 현금 흐름에 영향을 받았으며, 이 중 60%는 하루 100만 달러(약 13억 원) 이상의 수익 손실이 발생했다고 보고했다.
피해는 병원에만 그치지 않았다. 시브이에스(CVS Health)와 월그린스(Walgreens) 등 대형 약국 체인들도 처방전 처리가 지연되면서 환자들의 의약품 접근성이 크게 저하됐다. 뉴저지 사이버보안통신통합센터는 이번 사태로 전국의 약국들이 처방전 처리 적체를 겪었다고 전했다.
유나이티드헬스그룹(UnitedHealth Group)의 자회사인 체인지헬스케어는 피해를 입은 의료기관들을 위해 임시 자금 지원 프로그램을 운영했다. 10월 15일 기준으로 약 32억 달러(약 4조 2천억 원)의 지원금이 상환됐다고 회사 측은 밝혔다.
미국 보건복지부 산하 시민권리국(Office for Civil Rights)은 3월 발표한 서한에서 “이번 사태가 전국적으로 의료 서비스와 청구 정보 시스템을 교란시키고 있다”며 “필수적인 환자 진료와 의료 산업의 핵심 운영에 직접적인 위협이 되고 있다”고 경고했다.
현재 체인지헬스케어와 모회사인 유나이티드헬스에 대해 환자 개인정보보호법 위반 여부를 포함한 조사가 진행 중이다. 회사 측은 “데이터의 규모와 복잡성을 고려해 단계적으로 영향을 받은 개인들에게 통지하고 있으며, 조사는 마무리 단계에 있다”고 설명했다.
미국의사협회(AMA)의 제임스 L. 마다라(James L. Madara) 부회장 겸 CEO는 미국 국토안보부 산하 사이버보안인프라보안국에 보낸 서한에서 “이번 사태는 의료 서비스 제공자, 환자, 병원, 약국, 실험실 등 의료 업계 전반에 미치는 심각한 영향을 보여주는 사례”라며 “민감한 의료 데이터를 노리는 위협 행위자들로부터 우리의 인프라와 기술, 시스템을 더 잘 보호해야 한다”고 강조했다.
한편, 미국 보건복지부에 따르면 2023년 이후 발생한 100대 데이터 유출 사고의 약 49%가 의료보험사와 관련 업체에서 발생했다. 뉴저지 주민들은 이번 사태와 관련해 2년간 무료 신용 모니터링 및 신원도용 보호 서비스를 제공받을 수 있으며, 웹사이트(www.changecybersupport.com) 또는 전화(1-888-846-4705)를 통해 신청할 수 있다.