[아이뉴스24 김혜경 기자] 지난해 서울대병원이 해킹 공격으로 피해를 입으면서 관계 당국이 개인정보 유출 여부를 비롯해 대대적인 조사에 나섰다. 해당 사건 여파로 현재 조사 대상에 포함된 의료기관은 상급종합병원을 비롯해 18곳에 달한다.
올해 상반기에도 랜섬웨어 등 사이버 공격은 이어지고 있는 가운데 민감한 개인정보를 다룬다는 측면에서 의료기관의 사이버보안 역량 강화와 장기적인 대책을 마련해야 한다는 지적이다.
20일 국회 정무위원회 소속 윤영덕 의원(더불어민주당)이 개인정보보호위원회, 보건복지부 산하 진료정보침해대응센터(KHCERT) 등으로부터 받은 자료에 따르면 현재 개인정보위가 들여다보고 있는 국내 의료기관은 상급종합병원 8곳, 종합병원 10곳이다. 유출된 개인정보 종류와 규모는 조사 중에 있다.
지난해 6월 서울대병원 서버가 악성코드에 감염돼 PC 공유폴더에 저장된 파일 등이 외부에 유출된 것으로 추정됐다. 교육부 사이버안전센터 조사결과 2만2천681건의 환자‧교직원 정보가 유출됐으며, 긴급보안조치와 함께 경찰청 수사 의뢰가 이뤄졌다.
올해 7월 중간수사 결과 개인정보 유출 정황이 추가로 확인되면서 약 80만건의 데이터가 유출됐을 것으로 추정됐다. 서울대병원 측은 정보주체가 개인정보 유출 여부를 확인할 수 있도록 홈페이지에 해당 내용을 게시하고 문자를 발송했다.
해당 사건 발생 이후인 지난해 11월 한 해커가 다크웹에 한국의 대학병원과 기업에서 탈취한 개인정보를 판매한다는 글을 올려 논란이 인 바 있다. 실제 개인정보를 빼돌린 것인지 이미 공개된 정보들을 조합해 만든 것인지는 아직 불분명하다.
개인정보를 겨냥한 공격 유형은 사용 중인 계정을 탈취하거나 유출로 끝나지 않고 판매로 이어지고 있어 2차 피해 우려가 높다. 복지부 산하 KHCERT는 의원실을 통해 “국립대를 제외한 민간 대학병원에 확인 요청한 결과 유출 사실은 확인되지 않았다”고 전했다.
개인정보 유출 사고를 비롯한 사이버 침해사고는 꾸준히 발생하고 있다. KHCERT에 따르면 2020년 3월부터 올해 상반기까지 의료기관에서 발생한 진료정보 침해사고(국립대병원 제외)는 총 51건으로 집계됐다.
의료법 제23조의3에 따라 진료정보 관련 침해사고가 발생한 의료기관은 복지부에 의무적으로 신고해야 한다. 병원급별 현황을 살펴보면 ▲3차 의료기관(상급종합병원) 3건 ▲2차(종합병원) 10건 ▲1차(의원 등) 38건으로 조사됐다.
1차 의료기관의 경우 랜섬웨어 감염에 특히 취약한 것으로 나타났다. 2020년 8건에서 지난해 17건, 올해 상반기 10건으로 집계됐다. 2차 의료기관은 2020년 4건, 지난해 2건에 이어 올해 상반기 2건을 기록했다. 상급종합병원를 겨냥한 랜섬웨어 공격도 지난해와 올해 상반기 각각 1건으로 나타났다.
민감한 진료정보를 다룬다는 의료기관 특성상 사이버보안은 중요하다. 의료법 제3조의5에 따라 상급종합병원은 '정보보호관리체계(ISMS)' 인증을 의무적으로 받아야 한다. 한국인터넷진흥원(KISA)과 개인정보위에 따르면 상급종합병원 45곳은 모두 ISMS 인증을 보유하고 있지만 '정보보호‧개인정보보호 관리체계(ISMS-P)' 인증까지 획득한 의료시설은 삼성서울병원 1곳에 불과했다. 이외 국립암센터가 올해 7월 ISMS-P 인증을 받은 바 있다.
ISMS-P는 기존 ISMS에서 개인정보 보호 항목이 강화된 인증이다. 2019년 5월부터 ISMS와 PIMS가 통합‧운영되고 있다. 개인정보 처리단계별 요구사항 분야를 포함해 3개 영역·총 102개 인증 영역을 모두 충족해야 한다. ISMS-P로 통합·운영되고 있지만 대다수 상급종합병원은 ISMS 체계를 유지하고 있다. 아울러 상급종합을 제외한 국내 소규모 병원과 의원급 의료시설은 ISMS 인증을 받지 않아도 돼 사각지대인 상황이다.
윤영덕 의원은 "병원에서 개인정보 유출 사고가 반복되고 있는데도 부처간 업무공백으로 정책대응이 이뤄지고 있지 않다는 점이 문제"라며 "민감정보를 취급하는 병원을 ISMS-P 인증 필수 기관으로 지정해야 한다"고 말했다.
한 보안업계 관계자는 "사실상 ISMS-P 인증이 필요하지만 법적으로는 문제가 없으므로 비용과 효율성 측면에서 ISMS 갱신을 택하는 것"이라며 "ISMS 유효기간이 끝난 후에는 ISMS-P를 받도록 의무화하는 방향으로 컴플라이언스를 바꾸는 방식도 생각해볼 필요가 있다"고 말했다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기