가상 의료 서비스 제공업체인 Confidant Health에서 발생한 데이터 유출은 개인 식별 정보(PII)와 민감한 데이터 간의 엄청난 차이를 여실히 드러냈습니다.

이 이야기는 보안 연구원인 Jeremiah Fowler가 Confidant 상황과 연결된 5.3테라바이트의 노출된 데이터가 포함된 보안되지 않은 데이터베이스를 발견하면서 시작되었습니다. 이 회사는 코네티컷, 플로리다, 텍사스 및 기타 주에서 중독 회복 지원 및 정신적 상황 치료를 제공합니다.

WIRED가 처음 보고한 이 유출에는 환자 이름과 주소와 같은 PII뿐만 아니라 치료 세션의 오디오 및 비디오 녹화, 상세한 정신과 진료 기록, 포괄적인 병력과 같은 민감한 정보도 포함되었습니다.

해당 기사에서는 일부 정보가 얼마나 끔찍할 정도로 민감하고 심각한지 보여주었습니다. 기사에 따르면, "7페이지 분량의 한 정신과 초기 상담 기록에는… 환자가 가족 구성원이 사망하기 전에 조부모의 호스피스 치료용으로 보관돼 있던 마약성 진통제를 가져다 복용했다고 주장한 내용을 포함해, 알코올 및 기타 물질 사용 문제에 대한 상세한 내용이 담겨 있다"고 전했습니다. 또 다른 문서에서는 한 어머니가 남편과 아들 사이의 '갈등이 심한' 관계를 설명하며, 아들이 각성제를 사용하던 당시 어머니의 파트너가 자신을 성적으로 학대했다고 비난했다는 내용도 포함돼 있었다고 합니다.

IBM의 2024년 데이터 유출 비용(CODB) 보고서에 따르면 46%의 데이터 유출이 고객 PII와 관련이 있는 것으로 나타났습니다. 이 보고서는 또한 지적 재산권(IP) 데이터의 기록당 비용이 156달러에서 173달러로 크게 증가했다고 지적합니다.

그러나 Confidant Health 사건의 노출 수준은 영향을 받은 개인이 입을 수 있는 잠재적 피해가 상당히 증가했음을 나타내며, 이는 단순한 PII 유출과 관련된 위험을 훨씬 능가합니다.