정부가 의료기관 진료정보 침해대응 전담기구인 ‘의료정보침해대응센터(KHCERT)’의 적극적인 활용을 당부했다.

정보통신 기술의 발달로 보건의료기관 내부 정보들이 외부와 지속적인 교류를 하고 활용까지 되는 최근 상황에서 보호되지 못한 정보는 의료기관에게 피해를 주는 것은 물론 환자의 생명과도 직결되기 때문이다.

보건복지부 정보보안팀 김종덕 사무관은 11월 15일 대한병원협회 주최 ‘제16회 병원 의료정보화 발전 포럼’에서 이같이 전했다.

이날 김종덕 사무관은 “정보는 보호를 받아야 활용 가능해지는 것이지, 활용이 가능하다고 모든 정보가 보호되는 것은 아니다”라며 의료기관 정보보호의 중요성을 강조했다.

특히 김 사무관은 사례 소개를 통해 의료기관 정보침해는 경제적인 손실을 넘어 생명에도 위협을 가하고 있다고 우려했다.

실제로 지난해 독일의 한 대학교는 랜섬웨어 공격을 받았는데, 해당 대학의 대학병원까지 정보 시스템이 마비돼 응급환자를 처리하지 못했고 결국 이송과정에서 환자는 사망했다.

또한 올해 10월 미국의 앨라배마 병원에서 자연 분만 중에 탯줄이 목에 감여 영아가 사망하는 사건이 발생했는데, 조사 과정 중 전상 마비로 제때 조치를 못한 것이 원인으로 드러났다.

이 외에도 인명 피해는 없었지만, 영국의 워너크라이가 2017년 랜섬웨어 공격으로 NHS(국민보건서비스) 산하 40여개 기관의 병원 업무 마비를 겪은 바 있고, 2020년 아일랜드도 랜섬웨어 공격으로 의료분야 전산 운영이 중단된 경험이 있다.

이 같은 의료기관 정보침해에서 국내도 자유로울 수 없다.

김 사무관의 설명에 따르면 지난해 업종별 침해사고 발생 비율에서 의료 분야는 IT, 제조업의 뒤를 이어 3위에 위치했다.

또한 지난해 3월부터 12월까지 진료정보침해대응센터에 신고된 의료기관 정보침해 신고현황을 살펴보면 의원이 38%, 병원이 31%를 차지했고 종합병원과 상급종합병원도 각각 23%, 8%였다.

침해유형은 랜섬웨어가 92%, 디도스(DDos) 8%를 기록했다.

아울러 글로벌 보안전문 업체 ‘사이벨앤젤(CybelAngel)’이 2020년 12월에 발표한 ‘영상정보 인터넷 노출 현황’에 의하면 한국의 PACS(의료영상저장전송시스템포트) 포트 중 72개에서 약 956만1,908장의 영상정보가 손쉽게 열람 가능했다.

이는 아무런 보호 장치 없이 노출된 서버가 만연하다는 것을 의미한다.

김 사무관은 “올해 8월 안산시 소재의 종합병원이 해킹 및 랜섬웨어 공격을 받아 윈도우 기반 서버 7대가 피해를 입었고, 경남 창원에 있는 병원 한 곳도 1월과 2월 두 차례나 랜섬웨어에 감염돼 정보가 유출됐다”고 말했다.

이들 병원의 공통점은 해킹당하기 쉬운 단순한 패스워드를 사용했거나, 서버별로 동일한 비밀번호를 사용했고, 윈도우7 등 보안에 취약한 서버를 통해 내부 서버를 장악당했다는 점이다.

그는 “정보보호는 보호 그 자체로서만 중요한 것이 아니라 의료기관에 대한 신뢰도를 확보하기 위한 필수불가결한 사항”이라며 “2020년에 개소한 의료정보침해대응센터는 복지부가 직접 진료정보 침해사고를 조사하고 예방하기 위한 활동을 수행한다는 점에서 의료기관에 도움을 줄 수 있다”고 설명했다.

의료정보침해대응센터는 2020년 2월 28일 의료법 개정에 따라 설립됐으며, 정보보호를 위한 법적·제도적 기반 마련, 예방 및 대응 조직 마련, 침해대응 예방 서비스 제공, 개인정보 관리 수준 제고 등을 목적으로 한다.

올해 6월 30일에는 의료정보 침해사고가 발생하거나 관계기관 등을 통해 인지한 경우 긴급조치가 시행될 수 있도록 시행규칙이 개정된 바 있다.

의료정보침해대응센터는 2020년 정식 개소 전까지 △2009년 사이버안전센터 △2012년 의료기관 과제추진 △2015년 민간 ISAC 확대 추진 △2017년 의료 ISAC 설립 기반 마련 △2018년 의료 ISAC 설립 등의 과정을 거쳤다.

‘ISAC(Information Sharing & Analysis Center)’은 동종 또는 유사 업무 분야별로 해킹이나 악성코드 등의 사이버위협에 효과적으로 대응하기 위한 공동 대응체계를 뜻한다.

특히 의료 ISAC은 △의료기관 정보침해 단독 대응의 어려움 △보안관리 능력 및 전문인력 부족 △보안솔루션 중심의 보안대책 한계 △상시 보안관제 체계 마련 부족 등의 문제를 일부 해소해 줄 수 있다.

김 사무관은 “의료기관공동보안관제센터인 의료 ISAC을 통해 사이버공격을 24시간 예방 및 대응하고 있다”며 “홈페이지 악성코드 및 위·변조 탐지 모니터링 서비스도 제공하고 있으니 언제라도 신청만 하면 된다”고 전했다.

그는 이어 “분기별로 사이버 공격 분석 및 대응 보고서를 발간해 의료기관의 예방 조치를 돕고 있으며 전문기관인 건강보험심사평가원을 중심으로 대한의사협회 등 6개의 자율규제단체와 개인정보보호 자율규제 제도를 운영하고 있다”고 부언했다.

향후에는 매월 취약점을 점검해 보안사고를 사전 예방하고, 전문교육 등을 통해 의료기관의 인식을 제고하는 등 개인정보 보호 활동을 지속 지원할 계획이라는 게 김 사무관의 설명이다.

그는 “앞으로 의료정보침해대응센터를 확대·개편하면서 현장의 의견과 요구사항을 적극적으로 전달하고 침해사고 예보·경보·긴급조치·복구 등 의료기관이 취약할 수 있는 부분 전 과정을 지원할 예정”이라고 말했다.

그는 이어 “모니터링, 취약점 분석·평가, 취약점 동향 파악, 정보보안 교육, 담당자 전문교육, 실시간 보안관제 수행, 침해행위 사전 탐지, 기술조사 및 연구 등을 기반으로 대한병원협회 등 유관기관과 협력해 정보보호 활용 체계를 마련할 계획이니 적극 동참해 달라”고 덧붙였다.