본문 바로가기
전체메뉴
bar_progress

글자크기 설정

닫기

[뉴웨이브] '위드 코로나' 시대…의료기관 보안 강화해야

수정 2021.09.14 12:22입력 2021.09.14 12:22
[뉴웨이브] '위드 코로나' 시대…의료기관 보안 강화해야

코로나19 팬데믹 이후 대형병원, 제약사 등 의료 관련 시설 및 기업이 해커들의 집중 타깃이 되고 있다. 최근 국내 대형병원들도 잇따라 사이버 공격으로 고객 정보가 유출되는 등 피해를 입으면서 민감하고 중요한 의료 정보를 다루는 의료기관의 보안에 대한 경각심이 더욱 높아지고 있다.


보건복지부가 발표한 ‘2020년 보건의료정보화 실태조사 결과’에 따르면 국내 병원의 41.7%가 해커의 침입 통로가 되는 외부 상용 이메일 접속을 차단하지 않고 있는 것으로 나타났다. 또 환자의 개인정보를 완전히 삭제하는 병원도 65.7%에 불과했다.

해커들은 이러한 허점을 파고들어 의료기관을 공격하고 각종 개인정보와 의료정보를 탈취한다. 이렇게 탈취한 정보는 개인을 대상으로 한 지능형 지속 위협(APT) 공격을 더욱 정교하게 수행하는데 악용된다. 예를 들어 개인의 병원 예약 일정에 맞춰 병원을 사칭하는 스미싱 문자를 보낸다면 매우 높은 확률로 공격을 성공할 수 있게 되는 것이다.


또한 해커들은 의료기관을 타깃으로 한 랜섬웨어 공격을 통해 중요 정보를 인질로 삼거나 의료 인프라를 마비시킨 후 금전을 요구하기도 한다. 이러한 공격은 환자들의 생명과도 직결돼 더욱 큰 피해를 초래할 수 있다는 점에서 매우 위험하다. 실제 아일랜드의 공공의료기관인 아일랜드 보건서비스(HSE)는 의료 기록이 담긴 내부 시스템이 해커들의 공격을 받아 전산 운영이 중단되기도 했으며, 미국 뉴저지의 한 대학 병원은 랜섬웨어 피해 복구를 위해 해커들에게 67만달러(약 8억원)에 달하는 금액을 지급한 사례가 있다.

우리 정부도 증가하고 있는 사이버 보안 위협에 대한 대책으로 보건복지부에서 의료기관을 대상으로 한 사이버 침해사고 대응 지원을 강화하는 등의 방안을 마련하고 있다. 하지만 갈수록 진화하는 사이버 공격에 맞서기 위해서는 사후 대응보다 사전 예방 대책 수립이 선행돼야 한다. 내부에 사이버 보안 전문 인력을 배치하고, 보다 강화된 보안 체계를 갖추는 등 의료기관 자체의 보안 수준을 강화할 필요가 있다.


현재 우리나라는 상급종합병원의 경우에만 정보통신망법 등에 따라 ISMS 인증 획득과 정기적인 보안 점검을 의무화하고 있다. 하지만 관련 법규 및 규정에 따른 기본적인 보안 점검 외에도 디지털화를 추진하고 있는 모든 의료기관들이 보안 분야에 선제적으로 투자하고, 보다 적극적인 보안 점검 활동을 병행해야 한다.


자체적인 보안 관리 활동에 한계가 있다면 보안 전문가를 통한 모의 해킹이나 취약점 점검 서비스를 주기적으로 이용하는 것 또한 방법이다. 기술 트렌드와 사회 현상 등을 고려한 보안 점검을 통해 실제 발생 가능한 해킹 이슈를 기반으로 의료 정보 시스템의 취약점을 진단하고, 그에 따른 보안 대책을 마련함으로써 해커들의 최신 위협에 대응할 수 있다.


전 세계가 ‘위드 코로나’ 시대를 맞이할 준비를 하고 있는 가운데, 의료 정보는 핵심 데이터로서 그 가치가 더욱 중요해지고 온라인 기반의 의료서비스 또한 더욱 확대될 것이다. 의료기관의 보안 수준 강화를 통해 보다 안전한 위드 코로나 시대를 맞이할 수 있도록 모두가 힘을 합칠 때이다.


최정수 라온화이트햇 핵심연구팀장




<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

댓글 SNS공유 스크랩

오늘의 토픽


위로가기