"기업 내부망을 아무리 철통같이 지켜도, 우리가 믿고 사용하는 B2B 파트너사의 서버가 뚫린다면 고객의 개인정보는 고스란히 유출됩니다."

 

 최근 전국 수많은 약국에서 사용하는 의약품 구매결제 및 처방전 관리 서비스 제공 기업 '크레소티(Cresoti)'가 사이버 공격을 받아 대규모 개인정보가 유출되는 사태가 발생했습니다.

 

 이번 사건은 단순히 한 IT 기업의 해킹 피해로 끝나는 것이 아닙니다. 크레소티의 시스템을 이용하던 수많은 약국(고객사)과, 그 약국을 방문한 일반 환자들의 민감한 정보가 연쇄적으로 노출된 전형적인 '공급망 보안(Supply Chain Security) 위협' 사례입니다. 최신 조사 결과를 바탕으로 이번 사태의 핵심 팩트 3가지와 B2B 기업이 반드시 짚고 넘어가야 할 시사점을 분석합니다.

🚨 1. 해킹 타임라인: 공격은 1일, 인지는 7일

 공식 입장과 언론 보도를 종합하면, 신원미상의 해커는 지난 7월 1일부터 3일 사이 크레소티의 처방전 스캔 연동 서비스('이지스캐너') 데이터베이스 서버에 비인가 접근을 시도했습니다.

 

 치명적인 부분은 최초 침투 이후 방어 시스템이 이를 즉각 차단하지 못했다는 점입니다. 사태는 7일 오전 9시경, 외부 공격자(해커)가 직접 크레소티 측에 데이터 침해 사실을 알리는 이메일을 발송하면서 비로소 수면 위로 드러났습니다. 이후 회사는 즉각 비인가 접근 경로를 차단하고 8일 한국인터넷진흥원(KISA)과 개인정보보호위원회에 신고를 완료했으며, 10일에 이르러서야 홈페이지를 통해 고객들에게 공식 유출 사실을 공지했습니다.

🔍 2. 유출된 데이터와 '불행 중 다행'인 이유

 이번 해킹으로 타격을 입은 서비스는 처방전 자동 입력 서비스인 '이지스캐너'와 전자 문서 보관 서비스 '팜다큐'입니다.

  • 유출된 약사(약국) 정보: 약국명, 사업자번호, 요양기관기호, 전화번호, 생년월일, 주소, 계좌 정보 등
  • 유출된 환자 정보: 약국/병원 기호, 환자 성명, 생년월일, 암호화된 주민등록번호, 마스킹 처리된 카드번호 등

 이처럼 방대한 PII(개인식별정보)가 유출되었음에도 불구하고, 최악의 사태는 면할 수 있었습니다. 바로 보안의 핵심 원칙 중 하나인 '물리적 망 분리' 덕분입니다. 침해를 당한 서버는 스캐너 전용으로 별도 운영되던 시스템이었으며, 결제나 POS 구동을 담당하는 핵심 서비스 및 질병코드·처방 약품 등 고도의 의료 민감정보는 물리적으로 분리된 별도의 IDC(인터넷 데이터 센터)에 보관되어 있어 해커의 손길이 닿지 않았습니다. 망 분리가 2차, 3차 대형 피해를 막는 최후의 보루 역할을 한 셈입니다.

🛡️ 3. B2B 생태계의 아킬레스건, 서드파티(Third-Party) 리스크

 약국 운영자들은 환자들의 처방전을 효율적으로 관리하기 위해 정상적인 B2B 계약을 맺고 크레소티의 솔루션을 도입했습니다. 하지만 파트너사의 보안 취약점 하나가 약국은 물론 환자들에게까지 피해를 입히는 '나비효과'를 낳았습니다.

 

 해커들은 보안이 강력한 원청(대기업, 대형 병원 등)을 직접 타격하기보다, 상대적으로 보안 인프라가 취약한 '소프트웨어 공급업체나 협력사(Third-Party)'의 서버를 우회 타격하는 방식을 선호합니다. 이번 사태 직후 크레소티 측이 "이지스캐너 서비스를 클라우드 환경으로 즉시 전환하고 인프라 보안 수준을 강화하겠다"고 밝힌 것도 이러한 구조적 취약점을 근본적으로 해결하기 위한 조치입니다.

💡 결론: 벤더(Vendor) 보안 점검은 선택이 아닌 필수

 크레소티 해킹 사태는 모든 B2B 기업과 IT 솔루션 도입 기관에 명확한 과제를 던집니다.

  1. 공급망 보안 검증 강화: 외부 솔루션이나 SaaS(서비스형 소프트웨어)를 도입할 때, 해당 파트너사의 데이터 암호화 수준과 서버 분리 정책을 철저히 검증해야 합니다.
  2. 망 분리와 최소 권한의 원칙 (Zero Trust): 크레소티가 핵심 의료 정보를 분리하여 지켜낸 것처럼, 만약의 사태에 대비해 서비스별 망을 철저히 분리하고 내부 접근 권한을 최소화해야 합니다.

 사이버 공격은 가장 약한 고리를 노립니다. 이제 기업의 보안 책임은 자사의 방화벽 내부를 넘어, 연결된 파트너사의 보안 수준까지 포괄해야 하는 시대가 되었습니다.