홍콩 병원관리국(HA)이 구룡 동부 클러스터(Kowloon East Cluster, 九龍東聯網) 소속 환자 5만 6천여 명의 민감한 정보가 유출된 사건과 관련하여, 피해자들에게 즉각 통보하고 계약업체 리스크 관리를 포함한 시스템 취약점을 전면 재검토해야 한다는 강력한 촉구를 받았다고 RTHK 방송이 보도했다.

지난 4월 4일, 환자의 이름, 성별, 홍콩 신분증 번호, 병원 파일 번호 및 수술 세부 정보가 포함된 유출 데이터가 제3자 플랫폼에 업로드된 것으로 보고됐다. 월요일 한 라디오 프로그램에 출연한 룩체청(Luk Che-chung) 전 구룡 동부 클러스터 행정총괄은 이번 사건을 "심각하고 용납할 수 없는 일"이라고 규정했다. 그는 병원관리국이 피해 환자들에게 가능한 한 빨리 알리고 어떤 데이터가 도난당했는지 명확히 밝힐 것을 촉구했다.

룩 전 행정총괄은 또한 "원본 파일"이 유출된 것에 대해 의문을 제기하며, 어떤 조직도 직원이 기록을 함부로 다운로드하도록 허용해서는 안 된다고 주장했다. 그는 내부 접근이 현재 해당 환자를 담당하고 정당한 임상적 필요가 있는 직원으로 엄격히 제한되어 있다는 점을 언급했다. 그는 이번 침해 사고를 매우 이례적인 것으로 보고, 유출이 내부자인지 아니면 계약업체에서 발생한 것인지 조사하고 계약업체에 대한 리스크 관리 조치가 충분했는지 검토할 것을 병원관리국에 촉구했다.

병원관리국은 이번 사건이 사이버 공격과는 무관하다고 주장했으나, 컴퓨터 보안 전문가인 안소니 라이척퉁(Anthony Lai Cheuk-tung)은 이러한 주장을 '연막'이라고 비판했다. 라이 전문가는 해커들이 홍콩 기관에 서비스를 제공하는 계약업체들을 감시하며, 조직의 메인 네트워크를 직접 겨냥하지 않더라도 취약점을 악용해 데이터를 탈취한다고 경고했다.

라이 전문가는 "원본 파일"이 보통 유지보수, 백업 또는 테스트 중에 업체에 의해 대량으로 내보내진다고 설명했다. 그는 이번 유출이 벤더(Vendor) 측의 파일 내보내기 결과일 가능성이 높다고 시사하며, 조사관들이 해당 파일이 업체 서버에서 적절히 보호되었는지와 누가 이를 다운로드했는지에 집중해야 한다고 말했다.

룩 전 행정총괄과 라이 전문가 모두 병원관리국과 계약업체가 이번 보안 침해에 대해 공동 책임을 져야 한다고 입을 모았다. 또한 라이 전문가는 병원관리국과 다른 정부 부처들이 중간 모니터링 계층으로서 '점프 서버(Jump servers)'를 도입할 것을 촉구했다. 이 시스템이 도입되면 모든 계약업체의 유지보수 작업은 메인 시스템에 접속하기 전 해당 서버를 거치게 되어, 실시간 기록과 감시가 가능해지고 의심스러운 활동을 즉시 차단할 수 있게 된다.

라이 전문가는 책임까지 외주를 줄 수는 없다고 주장하며 각 부처가 관행을 재평가할 것을 요구했다. 그는 조직이 계약업체가 보안 표준을 준수하는지 확인하고 빈번하고 강도 높은 모니터링을 수행해야 한다고 강조했다.