
□ 개요
2026년 07월 10일 크레소티는 홈페이지 공지를 통해 처방전 스캔·인식 서비스인 '이지스캐너' 및 '팜다큐'에 대한 해킹 공격으로 약사·환자 개인정보가 유출되는 사고가 발생했다고 밝혔다.
회사에 따르면 신원이 확인되지 않은 해커가 2026년 7월 1일경 처방전 스캔 및 인식 서비스 관련 시스템에 침입해 일부 정보를 불법적으로 탈취한 것으로 파악됐다. 정확한 유출 범위는 현재 조사 중이다.
크레소티는 사고 인지 직후 비인가 접근 경로를 전면 차단하고 시스템 점검 및 보안 강화 조치를 시행했으며, 개인정보보호위원회와 한국인터넷진흥원(KISA)에 사고를 신고하고 관계기관 조사에 협조하겠다고 밝혔다.
다만 개인정보 탈취가 지난 1일 발생했음에도 이용자에게는 9일이 지난 10일에서야 사고 사실이 공지돼 '늑장 공지' 논란이 제기되고 있다. 회사는 공지가 지연된 구체적 경위에 대해서는 별도로 설명하지 않았다.
유출 항목은 서비스별로 상이하다. 약사 대상 서비스 '이즈캐너'에서는 약국명, 대표자명, 사업자등록번호, 요양기관기호, 전화번호, 생년월일, 휴대전화번호, 이메일, 주소, 계좌정보(일부 약사)가, 환자 처방정보 서비스 '팜다큐'에서는 약국기호, 약국명, 병원기호, 병원명, 교부일자, 교부번호, 환자 성명, 생년월일, 암호화된 주민등록번호가 유출됐을 가능성이 있는 것으로 추정된다.
□ 사고내용 요약
1. 회사명 : 크레소티(이지스캐너, 팜다큐)
2. 사고유형
- 외부 해킹을 통한 시스템 침입 사고
- 약사·환자 개인정보 유출 사고
- 사고 공지 지연(늑장 공지) 사고
3. 유출규모
- 조사 중(정확한 유출 인원·범위 미확정)
4. 유출항목
1) 이즈캐너 - 약사 정보
- 약국명, 대표자명, 사업자등록번호, 요양기관기호
- 전화번호, 생년월일, 휴대전화번호, 이메일, 주소
- 계좌정보(일부 약사)
2. 팜다큐 - 환자 처방정보
- 약국기호, 약국명, 병원기호, 병원명
- 교부일자, 교부번호, 환자 성명, 생년월일
- 암호화된 주민등록번호
5. 특이사항
- 사고 발생(7월 1일)과 이용자 공지(7월 10일) 사이 9일간의 공지 지연 발생
- 공지 지연 사유에 대한 별도 설명 없음
- 약사(사업자 정보·계좌정보)와 환자(처방정보) 양쪽 개인정보가 함께 유출
- 환자 주민등록번호는 암호화 상태로 유출된 것으로 확인
- 개인정보보호위원회 및 KISA 신고 완료
- 정확한 유출 범위는 조사 진행 중, 개인별 유출 정보 상이할 수 있음
□ 사고대응 타임라인
- 2026년 07월 01일
. 신원 미상 해커, 처방전 스캔·인식 서비스 시스템 침입
. 일부 정보 불법 탈취 발생(추정)
- 2026년 07월 10일
. 크레소티, 홈페이지를 통해 개인정보 유출 사실 공지
. 사고 인지 직후 비인가 접근 경로 차단
. 시스템 점검 및 보안 강화 조치 시행
. 개인정보보호위원회 신고
. 한국인터넷진흥원(KISA) 신고
. 이용자 대상 2차 피해(피싱·스미싱) 주의 안내
- 이후 진행 예정
. 정확한 유출 범위 조사
. 관계기관 조사 협조
. 늑장 공지 관련 경위 확인 여부
□ 개인정보 유출 관련 홈페이지 안내

□ 대응내역
- 사고 인지 직후 비인가 접근 경로 전면 차단
- 시스템 긴급 점검 및 보안 강화 조치 시행
- 개인정보보호위원회 신고 완료
- 한국인터넷진흥원(KISA) 신고 완료
- 홈페이지 공지를 통한 이용자 대상 사고 사실 안내
- 2차 피해(사칭·피싱·스미싱) 주의 안내
- 피해 문의 대응을 위한 고객센터·전용 이메일 운영
□ 재발방지대책(권고사항)
1. 기술적 조치
- 처방전 스캔·인식 서비스 DB 서버 보안 아키텍처 재설계
- 이지스캐너 서비스 클라우드(예: AWS) 환경 전환 검토
- 팜다큐 등 노후·고위험 서비스의 중단·통폐합 검토
- 비인가 접근 탐지를 위한 침입탐지·방지시스템(IDS/IPS) 강화
- 약사·환자 개인정보(계좌정보, 주민등록번호 등) 암호화 수준 강화
- 정기 취약점 점검 및 모의해킹 수행
2. 관리적 조치
- 침해사고 인지 후 72시간 이내 신고·공지 원칙 준수를 위한 내부 프로세스 정비
- 사고 공지 지연 방지를 위한 침해사고 대응 매뉴얼 마련
- 약국·의료기관 대상 개인정보 처리 위탁관리 체계 강화
- 개인정보 취급자 보안교육 정례화
- 서비스별 개인정보 최소 수집·보관 정책 재점검
- 피해자(약사·환자) 대상 2차 피해 예방 안내 채널 상시 운영
□ 관련기사(출처)
| [카카오스타일(지그재그)] 다크웹 소스코드 유출 정황 및 KISA 조사 착수_2026년 07월 (0) | 2026.07.12 |
|---|---|
| [스콘] 학습용 전자책 플랫폼 개인정보 유출 의심 정황 확인_2026년 07월 (0) | 2026.07.12 |
| [한중엔시에스] ESS 부품사 해킹 의혹, 설계도면·임직원 개인정보 유출 정황_2026년 07월 (0) | 2026.07.12 |
| [LS증권] 외국인 투자자 이메일 계정 해킹을 통한 부정 주문 및 자금 인출 사고_2026년 07월 (0) | 2026.07.12 |
| [우리은행] NFT 플랫폼 외주 개발업체 개인정보 유출 사고_2026년 07월 (0) | 2026.07.05 |