최신 보안 사고 사례에 대한 분석 리포트

Change Healthcare 랜섬웨어 사건

사건 개요

Change Healthcare 사건은 미국 의료 시스템의 구조적 취약성을 드러낸 대표적인 랜섬웨어 사고다.
공격은 2024년 2월 21일경 발생했고, Change Healthcare는 미국 의료 청구·결제·약국 처리
인프라의 핵심 역할을 담당하고 있었기 때문에 단일 기업 사고를 넘어
미국 의료 서비스 전반의 운영 장애로 확산되었다.
UnitedHealth Group은 2024년 3월 발표에서 약국 서비스, 전자결제, 의료 청구 시스템이
공격의 영향을 받았고, 복구를 단계적으로 진행 중이라고 밝혔다.

이 사고가 심각했던 이유는 랜섬웨어 자체보다도, 의료기관과 보험사,
약국이 하나의 거대한 결제·청구 흐름으로 연결되어 있었기 때문이다.
공격 이후 병원과 약국은 청구 처리 지연과 결제 차질을 겪었고,
일부 기관은 자금 흐름에 직접적인 타격을 받았다.
미 보건복지부(HHS)도 이 사건을 두고 HIPAA 조사와
breach 관련 FAQ를 별도로 운영할 정도로 중대한 사건으로 다루었다.

사고 원인

이 사건에서 가장 널리 알려진 핵심 원인은 MFA가 적용되지 않은 중요 시스템 계정이었다.
미 하원 Energy & Commerce 위원회는 정리 자료에서,
이 공격이 발생한 이유로 UnitedHealth 측이 “중요 시스템 중 하나에 MFA가 적용되어 있지 않았다”고
인정했다고 밝혔다. 즉, 공격자는 고도의 공급망 해킹이나 복잡한 익스플로잇이 아니라,
기본 보안 수칙이 빠진 계정을 통해 중요한 환경에 접근할 수 있었다는 것이다.

이 점이 중요한 이유는, 의료 인프라처럼 민감한 정보를 다루는 환경에서조차
계정 보안의 기본이 지켜지지 않았을 때 피해가 어느 정도로 커질 수 있는지를 보여주기 때문이다.
MFA 하나의 부재가 내부 시스템 접근으로 이어졌고,
그 결과는 단순한 파일 암호화가 아니라 청구, 약 처방, 결제 등 실제 의료 업무 중단으로 이어졌다.
공격의 시작은 작아 보여도, 내부 구조가 복잡하고 의존성이 큰 시스템에서는 피해가
사회 전체로 확대될 수 있다는 것을 보여준다.

대응 방식

UnitedHealth Group은 공격 이후 핵심 시스템을 오프라인으로 전환하고,
약국 네트워크와 청구·결제 시스템을 순차적으로 복구하겠다는 일정을 발표했다.
2024년 3월 7일 발표에서는 약국 서비스와 결제 시스템, 의료 청구망 복구 일정이 제시되었고,
3월 18일에는 일부 의료 청구 준비 소프트웨어와 결제 기능 복구가 진행 중이라고 밝혔다.
동시에 회사는 피해를 입은 의료기관들을 위해 임시 자금 지원 프로그램을 확대했다.

또한 2025년 HHS FAQ에서는 Change Healthcare가 2024년 7월 OCR에 랜섬웨어 공격에
따른 PHI 유출 보고를 제출했다고 명시했다. 이는 이 사건이 단순한 서비스 장애가 아니라
보호 대상 건강정보(Protected Health Information) 유출 가능성까지 포함한 대형 사고였음을 의미한다.
즉, 시스템 복구와 별개로 개인정보·민감정보 보호 측면에서도 장기간 후속 조치가 필요했던 사건이다.

한계와 시사점

이 사건의 가장 큰 문제는 “랜섬웨어 공격을 당했다”는 사실 그 자체보다,
의료 산업 전체가 특정 결제·청구 인프라에 지나치게 의존하고 있었다는 점이다.
한 회사의 장애가 수많은 병원, 약국, 보험사 운영에 연쇄적으로 영향을 미쳤다는 것은,
기술적 보안 문제와 함께 구조적 집중 리스크가 존재한다는 뜻이다.
공격자는 하나의 지점을 노렸지만, 피해는 의료 생태계 전체에 퍼졌다.

그래서 이 사례는 단순히 “MFA를 켜야 한다”로 끝낼 수 없다. 물론 MFA 부재는 핵심 원인이었지만,
더 근본적으로는 중요 인프라에 대한 분산 설계, 복구 우선순위,
대체 경로, 서비스 연속성 계획이 충분했는지도 함께 따져봐야 한다.
블로그에서 이 사건을 쓸 때는 “보안 사고가 단순한 정보유출을 넘어
실제 의료 서비스 중단으로 이어졌다는 점”을 강조하면 훨씬 무게감 있게 보인다.