의료기관 해킹 급증하는데… "우린 파악조차 못해"

정부·의료기관 대응시스템 부재
보안 허술…개인정보보호 뒷전
"외부 알려지면 이미지 실추
눈 감아주고 숨기기에 급급"

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
병원 등 의료기관에 대한 해킹 시도가 세계적으로 급증하며 정부와 의료기관의 개인정보 대응 시스템 부재에 대한 지적의 목소리가 커지고 있다. 의료기관은 전 국민이 이용하는 만큼 방대한 개인정보가 보관돼 있지만 허술한 보안 체계로 해커들의 주 공격 타깃이 되고 있다. 특히 원격의료 등 기술의 발전으로 의료기관 대상 해킹은 개인정보 유출뿐 아니라 환자의 생명과도 직결될 수 있어 심각성이 크다는 지적이다.

23일 한국인터넷진흥원(KISA)이 발표한 '2018년 개인정보보호 7대 이슈 보고서'에 따르면 바이오인증, 정밀의료 등 바이오정보 이용 활성화 대비 관련 법률과 보호장치가 세밀하게 마련돼 있지 않아 개인정보 보호가 뒷전이라는 분석이다.

의료기관은 일반적으로 환자의 건강 상태 등 민감하고 다양한 바이오 정보를 보유하고 있다. 최근에는 정밀의료를 위해 유전자와 환경이 특정 질병과 어떤 연관성을 보이는지에 대한 선행 연구용으로 충분한 참여자들의 각종 자료를 모은 데이터베이스(DB)까지 구축 중이지만 이에 대비한 대응 시스템은 미흡하다.

실제 지난 18일(현지시간) 노르웨이 남동지역보건당국(RHF)의 시스템이 미상의 해커조직에 해킹당해 노르웨이 인구 520만명의 절반에 달하는 290만명의 개인정보와 건강기록이 도난당하는 사건이 일어났다. 이 해커 조직은 최근 추세에 따라 관련 정보를 다크웹 사이트에 올려 판매할 것으로 보인다. 또 국회 입법조사처 자료에 따르면 미국은 지난 2015년 기준으로 핵심 인프라 가운데 의료기관에 대한 해킹 공격이 전체의 21%로 하루 평균 1000건의 공격을 받고 있는 것으로 나타났다. 이에 미 보건복지부는 랜섬웨어 등 해킹 예방과 대처방안 홍보를 위해 지침서를 배포하고, 관련 공격 시 반드시 보고하도록 지침을 개정했다.

반면 한국의 경우 상급 대형 의료기관(43개 병원)이 의무적으로 ISMS(정보보호관리체계) 인증을 획득하도록 돼 있지만 해킹으로 인한 피해 사실은 신고 의무가 없어 정부가 관련 현황 파악도 제대로 하지 못하는 실정이다. 지난해 국정감사 당시 권미혁 민주당 의원이 KISA로부터 제출받은 자료에 따르면 2013년 이후 5년간 접수된 의료기관 해킹 피해 사례는 13건으로 집계됐다.

실제 해킹과 개인정보 유출 등의 피해는 이보다 훨씬 많음에도 신고가 되지 않은 것으로 추정된다. 교육부에 따르면 국립대병원(일반대학 포함) 전산망에 대한 해킹 등 사이버 침해 사례는 매년 증가해서 작년에는 4만건에 육박했다. 서울의 한 대형병원 전산실 관계자는 "외부 해킹보다도 의사나 간호사 등 내부 직원들에 의한 정보 유출 사고가 더 흔한 상황이지만 이를 내부적으로 밝혀내도, 외부에 알려지면 자칫 대형 소송과 이미지 실추로 이어질 수 있기 때문에 병원 차원에서 관련 사고를 눈감아주고 숨기기에 급급한 실정"이라고 전했다.

한편 지난해 6월 김상희 민주당 의원이 의료기관에서 해킹 침해 등이 발생할 경우 보건복지부에 즉시 사실을 알리도록 의무화하도록 한 의료법 개정안을 대표 발의했지만 아직 논의되지 않고 계류 중이다.

이경탁기자 kt87@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사