글로벌 제약사 노보 노디스크(Novo Nordisk)가 내부 IT 시스템에 대한 보안 침해 사고를 확인하고 대응에 나섰다. 사측은 이번 사고로 일부 임상시험 참여 환자의 가명처리 데이터가 외부로 무단 복사된 사실을 인지했다고 지난 11일 공식 발표했다.
유출 범위와 환자 영향
노보 노디스크가 공개한 인시던트 업데이트(Incident Update)에 따르면, 유출된 데이터는 ▲환자 ID(무작위 영숫자 문자열) 및 임상시험 참여 정보 ▲성별 ▲출생 연도 ▲바이오마커 ▲면역원성(immunogenicity) 데이터 ▲생활 방식 관련 요인(흡연 여부, 음주, BMI 등) 등 6개 범주다. 다만 개별 환자에 대한 직접적인 식별자(성명 등)는 포함되지 않았으며, 환자 신원을 특정하려면 이번 사고에서 노출되지 않은 별도의 연계 정보가 필요하다. 사측은 해당 데이터를 가명처리(pseudonymized) 상태로 판단하며, 제3자가 임상시험 참여자를 특정할 수 없을 것으로 보고 있다. 개별 피해 당사자들에게는 사고 내용을 별도로 통보하고 있다.
임상시험 참여 환자들에게는 즉각적인 위험이 없으며 별도의 조치를 취할 필요도 없다고 설명했다. 다만 이번 사건과 연계될 가능성이 있는 비정상적인 정황이 발견될 경우 즉시 신고해줄 것을 권고했다.
사고 대응 현황
노보 노디스크는 사고 인지 즉시 외부 사이버보안 전문가와 함께 조사를 개시하고 관련 당국과 협력 중이라고 밝혔다. 대응 조치의 일환으로 일부 내부 IT 시스템을 오프라인으로 전환했으며, 안전한 방식으로 복구 작업을 진행 중이다. 사측은 이번 사고가 핵심 사업 운영에는 영향을 미치지 않았다고 강조했다.
한편 최근 생명과학 업계는 지식재산권과 환자 데이터 등 민감 정보를 겨냥한 사이버 공격의 주요 표적이 되고 있다. 지난달 웨스트 파마슈티컬 서비스(West Pharmaceutical Services)가 사이버 보안 사고를 보고한 데 이어, 의료기기 기업 스트라이커(Stryker)도 해킹 피해를 입는 등 업계 전반에 걸쳐 보안 위협이 확산되는 양상이다.