위스콘신 메디케어 데이터 침해로 수천 명이 피해를 입었습니다.

Medicare & Medicaid Services 센터(CMS)와 Wisconsin Physicians Service Insurance Corp.(WPS)는 MOVEit 소프트웨어의 보안 취약점으로 인해 개인 정보가 노출되었을 수 있는 Medicare 수혜자 946,801명에게 서면 통지를 보내고 있습니다. Medicare 병원 및 외래 청구를 처리하는 CMS 계약자인 WPS는 Medicare 청구 프로세스 중에 MOVEit을 사용하여 파일을 전송합니다.

Progress Software에서 개발한 MOVEit 소프트웨어의 취약점으로 인해 무단 제3자가 2023년 5월 27일과 5월 31일 사이에 MOVEit을 사용하여 전송된 개인 정보에 액세스할 수 있었습니다. 손상된 정보에는 이름, 사회보장번호 및 납세자 ID 번호, 생년월일, 주소, 병원 계좌 번호, Medicare 수혜자 식별자(MBI) 및/또는 건강 보험 청구 번호가 포함되었습니다. CMS는 이 사건의 직접적인 결과로 신원 사기 또는 정보의 부적절한 사용에 대한 보고가 있는지 알지 못한다고 밝혔습니다.

그러나 개인의 MBI가 잠재적으로 영향을 받았다면, 새로운 번호가 적힌 새로운 Medicare 카드가 몇 주 안에 발급될 것입니다. 그동안 수혜자는 기존 Medicare 카드를 계속 사용할 수 있습니다.

메디케어 데이터 침해 대응 노력

WPS는 Progress Software에서 출시한 소프트웨어 패치를 적용하여 취약점을 수정하고 시스템에 미칠 수 있는 잠재적 영향을 조사했습니다. 2023년 조사에서 WPS는 WPS MOVEit 애플리케이션 내의 파일에 대한 무단 액세스 증거를 관찰하지 못했습니다. 그러나 WPS는 2024년 5월에 새로운 정보를 바탕으로 추가 검토를 수행하여 패치가 출시되기 전에 무단 제3자가 WPS의 MOVEit 파일 전송 시스템에서 파일을 복사했다는 것을 발견했습니다.

2024년 7월 8일, WPS는 일부 파일에 개인 정보가 포함되어 있음을 확인하고 CMS에 알렸습니다. WPS는 영향을 받은 사람들에게 Experian의 무료 12개월 신용 모니터링 및 기타 서비스를 무료로 제공합니다. 신용 보고서에서 의심스러운 활동을 발견한 사람은 지역 법 집행 기관에 연락하고 경찰에 보고서를 제출할 것을 촉구합니다.

CMS는 WPS 및 사이버 보안 포렌식 컨설턴트와 협력하여 침해를 계속 조사하고 있으며, 위탁받은 정보를 보호하기 위해 모든 적절한 조치를 취할 것이라고 밝혔습니다. MOVEit 취약성은 미국 내 많은 조직에 영향을 미쳤으며, 이 사건은 국제적인 분노를 불러일으켰으며, 해커들은 몸값으로 7,500만 달러에서 1억 달러 사이의 수익을 냈다고 합니다.