일부 모바일 헬스 케어 앱들이 분별없이 사용자의 데이터를 요구하고 있기 때문에 사용자는 민감한 데이터를 관리할 앱을 신중하게 선택하여 결정해야 합니다.
오늘날 디지털 경제에는 거의 모든 것을 위한 앱들이 있습니다. 가장 호황을 누리고 있는 분야는 의료 부문일 것입니다. 생리 기간 및 가임기 추적에서 정신 건강 및 멘탈 케어에 이르기 까지 거의 모든 부분에서 도움이 되는 헬스 케어 앱이 있습니다. 실제로 이 시장은 이미 두 자리 성장을 하고 있으며 2030년까지 약 8,610억 달러의 가치가 있을 것으로 예상됩니다.
그러나 이러한 앱들은 사용자의 가장 민감한 데이터를 요구할 수 있습니다. 실제로 GDPR은 의료 정보를 "특수 범주" 데이터로 분류합니다. 이는 공개될 경우 "개인의 기본 권리와 자유에 상당한 위험을 초래할 수 있음"을 의미합니다. 이것이 기관이 기업에 보호 제공을 의무화하는 이유입니다.
안타깝게도, 모든 앱 개발자가 사용자의 이익을 최우선으로생각하거나 사용자를 보호하는 방법을 알고 있는 것은 아닙니다. 그들은 데이터 보호 조치를 간과할 수도 있고, 사용자의 개인 정보를 제 3자와 공유하는지 정확하게 알려 주지 않을 수도 있습니다. 이를 염두에 두고 앱 사용에 따른 주요 개인 정보 보호 및 보안 위험과 안전을 유지할 수 있는 방법을 살펴 보겠습니다.
헬스 케어 앱의 개인 정보 보호 및 보안 위험 중 위험이 가장 큰 것은 무엇일까요?
모바일 헬스 케어 앱을 사용할 때 주로 부족한 데이터 보안, 과도한 정보 공유, 불명확한 개인 정보 보호 정책이 세 가지 위험 요소로 분류됩니다.
1. 데이터 보안 문제
이는 개발자가 사이버 보안에 대한 규칙을 따르지 않아 발생하는 경우가 많습니다. 여기에는 다음이 포함될 수 있습니다.
- 더 이상 지원이나 업데이트가 되지 않는 앱: 공급사는 취약성을 관리하지 않거나 제품 업데이트를 거의 하지 않을 수 있습니다. 이유가 어떻든, 앱이 업데이트가 되지 않는다면 데이타 유출에 늘 노출되어 있으며, 취약성으로 가득하다는 것을 의미합니다.
- 불안정한 프로토콜: 안전한지 않은 프로토콜을 사용하는 앱은 앱에서 데이터가 전송될 때 위험해 질 수 있습니다.
- 멀티 팩터 인증을 사용하지 않는 앱: 오늘날 대부분의 좋은 서비스는 로그인 단계에세 보안 강화를 위해 MFA를 제공합니다. 이것이 없으면 해커는 비밀번호를 쉽게 알아 내어 서비스에 로그인할 수 있습니다.
- 소홀한 비밀번호 관리: 예를 들어 사용자가 기본 비밀번호를 사용하거나 'passw0rd' 또는 '111111' 와 같은 위험한 비밀번호를 사용하는 경우 계정이 크랙될 수 있습니다.
- 기업 보안: 앱 개발사는 데이터베이스를 잘 관리하지 못하는 경우도 있습니다. 사용자 인식 교육, 악성코드 방지, 데이터 암호화, 엑세스 제어, 취약성 관리 또는 사고 대응 프로세스 등이 없을 수 있습니다. 이는 모두 데이터가 유출 될 가능성이 높을 것입니다.
2. 과도한 데이터 공유
사용자의 건강 정보에는 성병, 약물 등 사용자 상태에 대한 매우 민감한 세부 정보가 포함될 수 있습니다. 이 정보가 광고주를 포함한 제 3자에게 판매되거나 공유될 수도 있습니다. Mozilla가 언급한 사례 중에는 다음과 같은 모바일 헬스 케어 업체가 있습니다.
- 사용자 정보를 데이터 브로커, SNS 사이트 등에서 구매한 데이터와 결합해 완전한 정보를 가집니다.
- 사용자가 특정 데이터를 삭제하고자 할 때 허가하지 않습니다.
- 사용자가 성적 지향, 우울증, 성 정체성 등에 관한 공개적인 질문을 합니다.
- 광고를 위해 쿠키를 허용합니다.
- 마우스, 입력을 모니터링하는 세션 기록을 허용합니다.
3. 불명확한 개인 정보 보호 정책
일부 모바일 헬스 케어 업체는 위의 개인 정보 보호에 대해 모호한 내용이나 작은 글씨로 기재할 수도 있습니다. 이는 사용자에게 보안 및 개인 정보 보호에 대해 오해를 하게 할 수 있습니다.
법에서 말하는 것
- GDPR: 유럽의 주요 데이터 보호법은 특수 범주 PHI를 처리하는 조직에 대해 매우 단호합니다. 개발자는 개인 정보 보호 영향 평가를 수행하고, 삭제 권한 및 데이터 최소화 원칙을 따르고, 개인의 데이터를 보호하기 위해 "필요한 보호 장치"가 내장되어 있는지 확인하기 위해 "적절한 기술적 조치"를 취해야 합니다.
- HIPAA: 공급사가 개인용으로 제공하는 모바일 헬스케어 앱은 HIPAA의 적용을 받지 않습니다. 공급사는 "적용 대상" 또는 "사업 제휴사"가 아니기 때문입니다. 그러나 일부의 경우 적절한 관리적, 물리적, 기술적 보호 장치와 연간 위험 분석이 필요합니다.
- CCPA 및 CMIA: 캘리포니아 주민은 모바일 헬스 환경에서 자신의 보안과 개인정보를 보호하는 두 가지 법률, 즉 의료정보기밀유지법(CMIA)과 캘리포니아 소비자 개인정보 보호법(CCPA)을 보유하고 있습니다. 이는 높은 수준의 데이터 보호와 명시적인 동의를 요구합니다. 그러나 이는 캘리포니아 주민에게만 적용됩니다.
개인 정보 보호를 위한 조치 단계
사람마다 위험에 대한 인식이 다를 것입니다. 어떤 사람들은 서비스와 광고 사이에서 원하는 바를 찾을 것이고, 일부 의료 정보가 유출되어도 신경쓰지 않는 사람도 있습니다. 위험에 대해 다음의 사항을 검토해 보세요.
- 다운로드 하기 전 확인합니다. 신뢰할 수 있는 다른 사용자의 의견을 살펴 볼 필요가 있습니다.
- 이러한 앱을 통해 조심해서 내용을 공유하고, 모든 내용이 알려질 수 있다고 생각해야 합니다.
- 앱을 SNS에 연결하거나 이를 통해 로그인하지 않습니다.
- 카메라, 위치에 액세스할 수 있는 권한을 주지 않습니다.
- 스마트폰의 개인 정보 보호 설정에서 광고 추적을 제한합니다.
- 항상 MFA를 사용하고, 강력한 비밀번호를 사용합니다.
- 앱을 최신의 버전으로 유지합니다.
Roe 대 Wade 판결이 뒤집힌 이후 모바일 헬스 케어의 개인 정보 보호에 대한 논쟁은 우려스러운 방향으로 바뀌었습니다. 일부 사람들은 생리 기간 추적기의 데이터가 임신 중절을 원하는 여성을 기소하는 데 사용될 수 있다고 경고 했습니다. 개인 정보 보호를 중요하게 생각하는 모바일 헬스 케어 앱을 찾는 사람이 점점 더 증가하고 있습니다.
'ESET NEWS > ARTICLES' 카테고리의 다른 글
비밀번호를 얼마나 자주 변경해야 할까요? (1) | 2024.04.08 |
---|---|
사진 속 숨겨진 악성 코드, 생각보다 많을 수 있습니다! (0) | 2024.04.04 |
온라인에서 중요한 파일을 안전하게 공유하는 방법 (0) | 2024.03.19 |
불가능한 것을 평범한 삶의 현실로 접다 | Chris Hadfield (0) | 2022.03.04 |
ESET이 알려 주는 화상 회의 시 유의해야 할 5단계 가이드 (0) | 2021.01.13 |