글로벌 제약 서비스 제공업체인 센코라(Cencora, 구 AmerisourceBergen)가 2024년 2월 사이버 공격으로 인해 데이터 유출 사고를 당했다고 밝혔다. 이번 정보유출은 센코라와 협력하는 여러 주요 제약사에 심각한 영향을 미쳤다.
이번 유출 사고는 2024년 2월 21일 처음 탐지됐으며, 센코라 정보 시스템에 무단 접근이 발생해 데이터가 탈취된 사실을 발견했다. 이는 미국 증권거래위원회(SEC)에 제출된 Form 8-K 서류에서 확인되었다. 센코라는 즉시 사고를 차단하고 관련 기관및 외부 사이버 보안 전문가들과 함께 조사를 시작했다고 밝혔다.
센코라는 탈취된 데이터에 개인 정보가 포함되어 있다고 보고했으나, 해당 정보가 직원 것인지 고객 것인지는 명확히 밝히지 않았다. 현재까지 이번 유출 사고와 관련하여 어떤 랜섬웨어 그룹도 책임을 주장하지 않았다.
이번 유출 사고로 인해 데이터가 유출된 주요 제약사는 다음과 같다.
1. 노바티스 제약사
2. 바이엘 주식회사
3. 애브비 주식회사
4. 리제네론 제약사
5. 제넨테크
6. 인사이트 주식회사
7. 스미토모 파마 아메리카
8. 아카디아 제약사
9. 글락소스미스클라인
10. 엔도 제약사
11. 덴드리온 제약사
이들 제약사는 이미 영향을 받은 개인들에게 데이터 유출 사실을 통보하기 시작했다. 통보서에는 유출된 데이터로 이름, 주소, 건강 진단 정보, 약물 및 처방전 정보가 포함되어 있다고 명시되었다.
센코라는 피해를 입은 개인들의 위험을 완화하기 위한 조치를 취하고 있다고 밝혔다. 센코라는 피해자들에게 2024년 8월 30일까지 2년간 무료 신원 보호 및 신용 모니터링 서비스를 제공하고 있다.
조사가 진행 중인 가운데, 센코라는 이번 유출 사고가 회사의 재정 상태나 운영에 실질적인 영향을 미칠지 여부를 아직 결정하지 못했다. 회사는 정보 시스템이 여전히 작동 중이며, 향후 유사한 사고를 방지하기 위해 사이버 보안 대책을 강화하고 있다고 강조했다.
이번 유출 사고는 제약 및 헬스케어 서비스 제공업체들에 강력한 사이버 보안 체계의 필요성을 다시 한 번 상기시켰다.
조사가 진행됨에 따라 유출 사고와 그 영향에 대한 추가적인 세부 사항이 밝혀질 예정이다.