인도 기반 웨어러블 헬스테크 스타트업 울트라휴먼은 3일(현지 시각), 악성코드에 감염된 직원 노트북에서 탈취한 인증 정보를 통해 해커가 내부 분석 시스템에 무단 접근해 이용자 건강 데이터를 열람했다고 피해 이용자들에게 e-메일로 알렸습니다.
지난 3월27일 발생한 침해 사고에서 해커는 내부 분석 도구에 읽기 전용 접근 권한을 얻어 이용자 약 0.1%에 해당하는 최소 700명의 웰니스 데이터를 열람한 것으로 파악됩니다.
울트라휴먼은 수면·활동·회복 등 생체 지표를 추적하는 링 에어(Ring Air)와 링 프로(Ring Pro)를 비롯한 스마트링 및 대사 건강 추적 기기를 판매하는 업체로 수집한 건강 데이터를 자체 서버에 저장해 관리합니다.
해커가 내부 분석 시스템을 표적으로 삼은 것은 서버에 집중된 이용자 건강 데이터에 한 번의 인증 정보 탈취만으로도 접근할 수 있는 구조 때문입니다.
모힛 쿠마르 울트라휴먼 최고경영자는 “보안 경보 시스템이 수 시간 안에 사고를 감지했고 취약점을 신속히 차단했다”고 밝혔고 비밀번호·결제 정보·생산 시스템·링 기기는 침해되지 않았다고 덧붙였습니다.
회사 측은 피해 이용자에게 통보하기에 앞서 전체 피해 범위와 유출 데이터를 파악하기 위해 감사를 진행했으며, 관련 규제 당국에도 신고 절차를 밟고 있다고 밝혔습니다.
다만 울트라휴먼은 실제 데이터 외부 유출 여부, 웰니스 데이터의 구체적 항목, 해커와의 연락 여부를 공개하지 않아 피해 이용자들의 불안을 잠재우지 못하는 상황입니다.
글쓴이 | Editor_B
언제나 기분 좋은 소식을 전하고 싶습니다.
news@techg.kr
언제나 기분 좋은 소식을 전하고 싶습니다.
news@techg.kr
