보안 스캐너와 컴플라이언스 감사가 놓친 3,000개 의료 저장소에서 13,427건의 PHI 위반 사례 발견

Context

기존 보안 스캐너는 의존성 취약점과 CVE를 탐지하고, 컴플라이언스 감사는 정책과 프로세스를 검토합니다. 이 두 접근법 모두 PHI가 실제로 이동하는 애플리케이션 코드 레이어는 확인하지 않습니다.

Technical Solution

• 정적 분석 엔진을 개발하여 HIPAA, GDPR, SOC 2, DPDPA 섹션에 코드를 매핑
• 9개 프로그래밍 언어, 4개 대륙에 걸친 3,000개 공개 의료 저장소 스캔
• 13,427건의 위반 사례를 특정 규정 조항에 직접 연결

Impact

43.6%의 저장소에서 위반이 발견되었으며, 주요 기관인 VA는 900만 veteran 대상 Lambda 함수에서 TLS 검증을 비활성화하고 경고를 억제했습니다. NHS England의 OpenSAFELY는 5,800만 환자 기록 조회 시 TLS를 비활성화했으며, OpenEMR은 100,000개 이상 설치에서 환자 SSN을 암호화 없이 CSV 파일에 기록했습니다.

Key Takeaway

가장 우려되는 발견은 657건의 환불 데이터가 비식별화 없이 AI 및 ML 파이프라인으로 되고 있다는 점입니다. Metriport는 Amazon Bedrock으로 환자 데이터를 비식별화 없이 전송하며, 이는 기존 보안 스캐너와 컴플라이언스 프레임워크가 탐지하지 못하는 패턴입니다.