민감정보 다루는 병원, 사이버 보안 투자는 1% 이하

@게티이미지뱅크
@게티이미지뱅크

모든 민감 정보가 저장된 병원이 전 세계 사이버 공격 대상이 되고 있는 가운데, 미국조차도 병원 IT 예산 중 사이버 보안 투자는 5%가 채 안 되는 것으로 나타났다. 국내는 IT 전담부서조차 없는 곳이 수두룩한데다 보안 예산은 물론 시스템 현황조차 파악이 안된다. 랜섬웨어 피해는 물론 환자 생명까지 위협하는 의료기기 해킹 위협까지 고조되면서 의료 보안수준을 높일 방안 마련이 시급하다.

21일 신용평가사인 무디스 보고서에 따르면 미국 의료기관도 랜섬웨어, 의료기기 해킹 등 사이버 보안 위협이 커지지만, 대응을 위해 투자하는 예산은 전체 IT 예산 5%가 채 안 된다. 소규모 병원으로 갈수록 사이버 보안 예산 규모는 더 작아져 병원은 물론 환자 피해까지 예상된다고 지적했다.

병원은 오랫동안 해커 공격 대상이 됐다. 환자 신체, 질병정보는 물론 보험 등 금융정보까지 저장되기 때문이다. 병원이 디지털 전환을 추진하면서 IT 인프라는 늘지만 한정된 예산으로 보안 투자는 소극적인 부분도 해커에게는 기회다.

보안기업 징박스 조사에 따르면 2015년부터 현재까지 미국에서 사이버 공격을 한번이라도 받은 적이 있는 병원은 전체 90%에 달한다. 환자정보 탈취부터 최근에는 의료기기 취약점을 노려 기능을 조작하려는 시도가 크게 늘고 있다. 실제 미국 내 병원 중 네트워크 트래픽 75%는 감시되지 않고 확인된 공격 17%는 전산시스템과 연결된 의료기기로부터 시작됐다.

무디스는 “랜섬웨어를 포함한 사이버 공격이 전자건강기록(EHR) 시스템을 겨냥하면서 병원 수익에 영향을 미치고, 심각한 경우 현금 흐름까지 방해할 것”이라면서 “프로그램, 기기, 개발사 간 디지털화와 데이터 공유가 확대됨에 따라 사이버 공격 침투 지점은 늘어나는데, 상호 연결된 의료기기나 프로그램을 노린 공격은 위급한 상황에서 환자에게 치명적일 수 있다”고 지적했다.

미국 병원도 사이버 공격에 따른 비상사태와 재난 대응 계획을 수립하고, 내부 위험 평가 실시 등으로 대응한다. 직원 사이버 보안 교육과 보험 가입 등도 확대한다. 하지만 이마저도 전체 IT 예산 중 5%가 채 안 된다. 특히 의료 보안 전문가 부족, 중소형 병원 경영 악화 등이 겹치면서 상황은 더 어둡다.

중소병원 의료보안 시스템 구축 현황(2017년 기준)
중소병원 의료보안 시스템 구축 현황(2017년 기준)

IT강국이자 보안 선진국인 미국조차 현실은 어두운 상황에서 국내는 더 심각하다. 우선 국내 병원 중 IT 담당부서나 인원을 보유한 곳은 전체 18%에 불과하다. 사이버 보안 역시 종합병원급이 연평균 2000만~5000만원 정도 투자하는 것으로 알려졌다.

한근희 건국대 SW학과 교수는 “종합병원은 연평균 5000만원 이하, 상급종합병원 중 '빅5' 병원은 연평균 7억원가량을 사이버 보안에 투자한다”면서 “미국과 같은 IT 예산 기준으로는 전체 1%도 채 안되는데다 동네의원은 사실상 전무하다고 봐야 한다”고 지적했다.

중앙대 의료보안연구소가 100~300병상 중소병원 300곳을 조사한 결과 전체 23.3%가 PC 백신 하나로 보안에 대응했다. 대형병원조차 이제 막 보안 투자를 하는 상황에서 국내 랜섬웨어 피해 건수도 연간 수백건에 달한다.

보안업계 관계자는 “국내 의료기관에서 중요하게 보호해야할 환자 질병, 유전자 정보 등은 민감정보에 속한다”면서 “매년 사후관리심사 등을 통해 정보보호 수준 개선되지만 의료기관 모든 서비스, 시스템을 대상으로 하지 않아 확대 조치가 필요하다”고 설명했다.

정용철기자 jungyc@etnews.com