노보 노디스크, 사이버 공격으로 임상시험 데이터 유출 사태

유출된 환자 데이터, 어디까지 노출되었나?

노보 노디스크의 공식 사건 업데이트에 따르면, 이번 유출 사고는 자사가 진행 중인 임상시험 일부 참가자들의 가명 처리된(pseudonymized) 정보에 국한됩니다. 유출된 데이터의 범주는 다음과 같습니다 :

• 환자 ID — 실명이 아닌 무작위의 영숫자 조합과 임상시험 참여 정보
• 성별
• 출생 연도
• 생체 지표(Biomarkers)
• 건강 및 면역원성 데이터
• 흡연 여부, 음주, 체질량지수(BMI) 등 생활 습관 요소

회사 측은 이번에 유출된 데이터가 환자의 이름이나 다른 직접적인 식별 정보와 연결되어 있지 않다는 점을 분명히 했습니다. 전체 이름, 연락처, 주민등록번호 등 개인을 곧바로 특정할 수 있는 정보는 노출되지 않았다는 것입니다. 노보 노디스크의 자체 평가에 따르면, 이번 사건으로 제3자가 영향을 받은 임상시험 참가자를 식별할 수 있는 가능성은 없다고 판단했습니다 .

기업의 사고 대응

노보 노디스크는 침해 사실 발견 후 다음과 같은 조치를 즉시 시행했습니다:

• 외부 조사 착수: 외부 사이버 보안 전문가의 도움을 받아 사건 조사에 착수했으며, 관련 당국과도 협력 체계를 가동했습니다 .
• 시스템 예방적 차단: 사건 확산을 막고 더 넓은 시스템 환경을 보호하기 위해 여러 내부 IT 시스템을 임시로 오프라인 상태로 전환했습니다. 현재는 통제된 방식으로 안전하게 시스템을 복구하는 작업이 이루어지고 있습니다 .
• 규제 및 사법 당국 신고: 해당 사안을 관할하는 규제 기관 및 사법 당국과 소통을 이어가고 있습니다 .
• 영향 받은 당사자 고지: 사안에 따라 영향을 받은 개인들에게 연락을 취하고 있습니다 .
• 환자 안내: 환자들에게 별도로 취해야 할 조치는 없지만, 만일의 사태에 대비해 평소 주의를 기울여 줄 것을 권고했습니다 .

사업 운영에 미친 영향

노보 노디스크는 핵심 비즈니스 운영에는 영향이 없으며, 현재도 정상적으로 가동 중이라고 명확히 밝혔습니다 . 이번 IT 보안 사고는 제한된 내부 IT 시스템에 국한된 사건으로, 회사의 주요 제조, 공급망, 상업적 활동은 중단 없이 계속되었습니다 .

엇갈린 희비, 그리고 거세지는 제약 업계 사이버 위협

이번 사이버 공격 소식이 발표된 당일, 노보 노디스크에는 희비가 엇갈렸습니다. 2026년 6월 11일, 영국 규제 당국은 이 회사의 첫 번째 경구용(먹는) 비만 치료제(1일 1회 복용 GLP-1 약물)를 승인했다는 대형 호재를 발표했습니다. 이 긍정적인 소식이 보안 사고 악재를 상쇄하며, 노보 노디스크의 주가는 이날 최대 3%까지 상승했습니다 .

하지만 이번 공격은 제약 업계를 둘러싼 사이버 보안 위협이 갈수록 심각해지고 있음을 보여주는 또 다른 신호탄입니다. 바로 몇 주 전인 2026년 5월 4일, 제약사들의 핵심 공급업체인 '웨스트 파마슈티컬 서비스(West Pharmaceutical Services)'가 글로벌 랜섬웨어 공격을 받아 제조 및 출하 작업에 차질을 빚은 바 있습니다 .

이러한 외부 위협과 더불어, 노보 노디스크는 실패한 신약 후보 물질 '오세두레논(Ocedurenone)'과 관련하여 KBP 바이오사이언스(KBP Biosciences)를 상대로 최대 8억 3천만 달러(약 1조 1천억 원) 규모의 손해배상 소송을 별도로 진행 중이어서, 법적·재정적으로도 복잡한 국면을 맞고 있습니다 .

노보 노디스크는 2026년 6월의 이번 데이터 유출 사건에 대한 조사를 여전히 진행 중이며, 공격자나 사건의 전체 범위에 대한 추가 세부 사항은 아직 공개하지 않았습니다 .