체중 감량 약과 성 건강 처방을 온라인으로 판매하는 미국 원격의료 플랫폼 Hims & Hers의 고객지원 시스템이 해킹됐다.
체중감량 약과 성기능 관련 처방 등을 온라인으로 판매하는 원격의료 기업 Hims & Hers가 고객지원 시스템 해킹 사고를 인정했다. TechCrunch 보도에 따르면, 회사는 최근 캘리포니아 법무장관실에 제출한 데이터 유출 공지에서 제3자 고객지원 플랫폼(티켓 시스템)이 2월 4~7일 사이 해킹 공격을 받았고, 이 기간 동안 다수의 고객지원 티켓이 유출됐다고 밝혔다. 해당 티켓에는 고객이 상담을 위해 제출한 이름·연락처 등 개인정보와 함께, 계정 관련 문의·약 처방 관련 문의 등 민감한 내용이 포함됐을 가능성이 크다.
Hims & Hers는 통지서에서 해커들이 고객 이름과 연락처 등의 정보를 탈취했다고 밝히면서도, 구체적으로 어떤 데이터가 빠져나갔는지는 상당 부분을 비공개(블라인드 처리)로 남겼다. 회사는 “고객 의료기록 자체는 침해되지 않았다”고 강조하지만, 실제로 고객지원 티켓에는 계정 이메일·전화번호·주소뿐 아니라 어떤 서비스(체중감량, 발기부전 치료, 탈모 치료 등)를 이용 중인지, 약 효과·부작용 문의, 처방 변경 요청 같은 의료 정보에 준하는 내용이 자주 포함된다. 즉, 의료기록 데이터베이스는 안전하더라도, 고객지원 채널이 사실상 ‘비공식 의료기록’ 역할을 하며 민감 정보를 담고 있을 수 있다는 점에서 리스크는 여전히 크다.
이번 공격은 전형적인 소셜 엔지니어링(social engineering) 기법을 이용해 이뤄진 것으로 알려졌다. Hims & Hers 대변인은 TechCrunch에 “해커들이 직원을 속여 시스템 접근 권한을 획득했다”고 밝혔지만, 구체적인 수법이나 사용된 계정·권한 범위는 공개하지 않았다. 최근 몇 달 사이 여러 글로벌 기업들이 고객지원·티켓 시스템을 노린 공격으로 고객 정보를 탈취당한 뒤, 랜섬(협박) 메일을 받아 돈을 요구받는 사례가 잇따르고 있다. 공격자 입장에서 티켓 시스템은 VPN·SSO 등으로 단단히 보호된 핵심 의료시스템보다 상대적으로 보안이 느슨하면서도 고객 정보를 한꺼번에 빼낼 수 있는 ‘쉬운 표적’이다.
원격의료·헬스테크에서 왜 더 위험한가
일반 이커머스의 고객지원 데이터도 민감하지만, Hims & Hers처럼 체중감량·성 기능·정신건강 등 프라이버시 민감도가 높은 서비스를 다루는 원격의료 플랫폼에서는 유출 리스크가 훨씬 크다. 예를 들어 “최근 처방받은 약의 부작용이 심하다”, “성기능 개선 약이 효과가 없다”, “우울증 약 복용 중인데…”와 같은 문장은, 설령 공식 의료기록에 남지 않더라도 그 자체로 건강 상태와 질병, 성생활 정보를 노출한다. 이런 데이터가 다크웹에서 유통되거나 협박 수단으로 쓰이면, 개인의 사회·직장 생활에 치명적인 피해를 줄 수 있다.
또한 원격의료·디지털 헬스 스타트업 상당수는 빠른 성장과 사용자 확대에 집중하면서, 고객지원·마케팅·데이터 분석 도구를 외부 SaaS에 맡기는 경우가 많다. 이 과정에서 PHI(Protected Health Information, 보호 대상 의료정보)에 준하는 데이터가 어느 경로로 흘러들어가는지, 어느 시스템까지 접근 통제가 필요한지에 대한 설계가 뒤따르지 못하는 경우가 적지 않다. 이번 사례처럼 “의무기록 DB는 안전하다”는 식의 방어 논리는, 실제 사용자가 느끼는 피해·불안을 충분히 설명해 주지 못한다.
핵심 포인트 요약
| 항목 | 내용 |
|---|---|
| 사고 기업 | Hims & Hers (원격의료·디지털 헬스 플랫폼) |
| 침해 시스템 | 제3자 고객지원·티켓 시스템 |
| 침해 기간 | 2월 4~7일 |
| 유출 내용(공개된 범위) | 고객 이름, 연락처, 기타 일부 개인정보(구체 항목은 비공개) |
| 공격 방식 | 소셜 엔지니어링 기반 계정 탈취 |
| 회사 입장 | “의료기록 DB는 침해되지 않았다” |
| 실제 리스크 | 티켓 내용 속 건강·약 처방 관련 민감 정보 노출 가능성 |
한국 헬스테크 서비스에 주는 경고
국내에서도 비대면 진료·건강관리 앱·약 배달 서비스를 중심으로 헬스테크 서비스가 빠르게 늘고 있다. 이들 중 상당수는 상담·문의·채팅 기록을 별도의 CRM, 헬프데스크 SaaS, 메신저 등 외부 도구에 맡기고 있으며, 법적으로는 “의무기록”이 아니라고 하더라도 사실상 그에 준하는 건강 정보를 주고 받는 경우가 많다. 이번 Hims & Hers 사례는 “의료정보 보호 = EMR(전자 의무기록) 보안만 잘 지키면 된다”는 식의 좁은 관점을 깰 필요가 있음을 보여준다. 실제 사용자 입장에서 중요한 것은 “어떤 시스템에서 어떤 데이터를 주고받았느냐”이지, 그것이 병원 EMR인지 고객지원 티켓인지의 구분이 아니다.
서비스 기획·보안 관점에서 보면, 원격의료·헬스테크 회사들은 다음과 같은 질문에 답할 수 있어야 한다.
– 우리 서비스에서 건강·질병·복약 정보가 오가는 모든 채널은 어디인가? (앱, 웹, 콜센터, 이메일, 채팅봇, 헬프데스크 등)
– 그 채널들 중 어떤 부분을 외부 SaaS에 맡기고 있으며, 그 공급자의 보안·규제 준수 수준은 어떤가?
– 소셜 엔지니어링 공격에 대비한 계정·권한 관리, 2단계 인증, 이상 징후 탐지는 제대로 되어 있는가?
원격의료와 헬스테크가 “민감한 개인 정보를 다루는 IT 서비스”라는 사실을 감안하면, 단순히 서비스 기능을 빠르게 늘리는 것보다, 이런 질문에 대한 답을 먼저 정리해 두는 것이 장기적인 신뢰와 레귤레이션 대응 측면에서 훨씬 중요하다. Hims & Hers 고객지원 시스템 해킹은, 의료정보 보호 논의의 범위를 더 넓게 가져가야 한다는 경고 신호다.
© 2026 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.
