민감 개인정보 가득한데 보안 무관심한 병원, 관제 서비스 가입률 54%

게티이미지뱅크

지난해 5월 광주광역시의 한 종합병원은 외래진료와 수술을 한동안 중단했다. 랜섬웨어 공격을 받아 환자 정보를 관리하는 각종 시스템이 먹통이 됐기 때문이다. 병원 내부 전산망에 접근한 해커는 데이터를 암호화한 뒤 금전을 요구했다. 그가 암호화한 데이터는 전자의무기록(EMR)과 의료영상저장전송시스템(PACS)에 담긴 정보다. 환자의 진료 처방 기록은 물론 엑스레이·엠알아이(MRI) 영상 정보까지 모두 의료진이 볼 수 없게 됐다는 뜻이다.

보안 사고는 병원도 예외가 아니다. 특히 병원은 환자의 병 이력 등 유출됐을 때 파장이 큰 민감 개인정보가 가득 차 있는 공간이다. 그럼에도 대부분의 의료기관은 정보 보안 투자가 매우 미흡한 편이다. 정보 보안의 중요성에 대한 인식 수준이 낮은데다 관련 제도나 규제도 미흡한 탓이다.

15일 한국사회보장정보원 의료정보보호센터 자료를 보면, 상급종합병원 둘 중 한곳(19곳·54.3%)은 ‘의료기관 보안관제 서비스’에 가입하지 않고 있다. 이 서비스는 정보 보안 전문 기관인 의료정보보호센터가 365일 24시간 보안 관제를 통해 보안 위험을 탐지하고 피해를 예방하는 서비스다. 상급종합병원보다 한 단계 아래 등급인 종합병원의 서비스 가입률은 7.4%(20곳)에 그친다.

의료기관 규모가 작을수록 정보 보안은 더 홀대받는다. 병의원은 ‘데이터 백업’도 부실하다. 해커 공격으로 먹통이 된 시스템을 되살리더라도 사라진 데이터를 온전히 복구할 길이 없다는 뜻이다. 건강보험심사평가원을 통해 데이터 일부만 건질 수 있을 뿐이다.

이성훈 의료정보보호센터장은 “병의원급에서는 (보안 피해) 신고 자체를 안 하는 경우도 많다. 피해가 크면 아예 병의원 이름을 바꿔서 다시 개원하기도 한다”고 귀띔했다. 자칫 감추고 싶은 성형 수술 내역이나 피부 시술 정보가 다크웹 등 음지에서 거래되거나 협박 용도로도 쓰일 위험이 있다는 뜻이다. 센터에 신고된 사이버 침해 사고는 2022년과 2023년에 각각 23건, 2024년엔 14건이다. 지난해는 8월까지 6건에 그친다. 이 센터장은 “신고되지 않은 보안 사고와 피해 사례가 상당히 많을 것으로 추정된다”고 말했다.

의료기관들의 인색한 보안 투자는 단지 비용 때문만은 아니다. 보안 비용이 그리 비싸지 않기 때문이다. 공공기관인 의료정보보호센터가 제공하는 보안 관제 서비스의 연간 비용은 최대 1800만원이다. 병상이 작은 병의원 대상 서비스 비용은 연간 300만원에 그친다. 물론 인프라 초기 구축 비용은 약 8600만원 정도다. 인프라 구축 비용을 뺀 서비스 가격은 민간 보안 전문기관의 서비스에 비해 절반도 되지 않는다. 공공기관이 제공하는 저렴한 서비스에도 가입하지 않는 건 그만큼 정보 보안에 대한 의료기관의 관심 부족을 방증한다.

제도 공백도 의료기관의 보안 위험을 높이는 요소다. 현재 의료기관을 대상으로 한 정부의 정기 평가에서 보안 관련 항목은 2개에 그친다. 그마저도 컴퓨터에 기본으로 설치되는 방화벽의 존재 유무를 묻는 등 평가 내용도 형식적이다. 의원급은 보안 수준 상향을 유도할 수 있는 평가 자체를 받지 않는다. 이 센터장은 “정부 평가에 보안 관련 지표를 강화하고, 가점을 부여해 보안에 신경 쓰도록 유도해야 한다”고 짚었다.

손지민 기자 sjm@hani.co.kr