테크크런치, 더버지 등 복수 외신이 정신건강 전문 스타트업 세레브럴(Cerebral)의 환자 데이터 공유 사실을 보도했다.
보도에 따르면, 세레브럴은 미국 환자 310만여 명의 정신건강 관련 정보를 메타, 틱톡, 구글 등 소셜 미디어 대기업 및 복수 광고 기업과 공유한 사실을 인정했다.
세레브럴은 코로나19 시기에 온라인 전용 가상 보건 서비스를 제공하면서 폭발적인 인기를 얻은 스타트업이다. 원격 진료 및 상담 서비스를 제공하면서 정신 건강 진료와 상담 치료를 받은 환자 개인 보건 정보를 연방 정부에 제출하는 시점의 허술한 보안 허점이 발견되었다.
세레브럴 측은 환자 이름과 연락처, 이메일 주소, 생년월일, IP 주소, 인구 정보는 물론이고 온라인 정신건강 자가 평가 결과 등을 메타, 틱톡, 구글 등 테크 업계 대기업을 포함한 민간 기업에 공유했다. 세레브럴 관계자는 추적 픽셀을 이용해 코드를 다수 기업과 공유하고는 개발자가 직접 개발한 앱, 웹사이트 등에 사용자 개인 정보 수집 사항을 포함하도록 했다.
세레브럴의 보안 허점은 지난 1월 중에 처음 관측됐다. 이에, 세레브럴 관계자는 보안 허점 초기 발견 후 자사 플랫폼의 추적 픽셀 모두 비활성화 및 제거, 재구성 완료와 함께 정보 보안 관행 및 기술 정보 유출 방지 과정을 강화했다고 주장했다.
또, 추후 환자 데이터 공유 논란이 불거지자 “유출된 환자 정보 범위는 환자가 세레브럴 플랫폼에서 한 활동마다 차이가 크다”라며, “정보 유출 피해가 발생한 사용자에게는 이를 개별적으로 안내할 것”이라고 밝혔다.
한편, 세레브럴은 환자 민감 데이터 처리 방식 때문에 미국 보건 프라이버시법(HIPAA) 위반 논란 대상이 되기도 했다. 미국 보건복지부는 세레브럴의 보건 관련 보안 허점이 2023년 발생한 보건 데이터 보안 침해 사건 중 두 번째로 피해 규모가 가장 크다는 자체 조사 결과를 발표했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 사회복지교육은 미래복지의 나침반이 되어야](/news/data/2026/01/16/p1065596364370517_157_h.png)
