오늘날 의료기관은 현실 세계를 넘어 사이버 공간에도 존재합니다. 의료기기, 병원정보시스템 (HIS), 환자 포털 등 다양한 IT 환경에 환자의 개인정보와 진료 기록이 저장되고 있죠. 의료기관은 IT 시스템 도입으로 업무 효율을 높였지만, 그만큼 민감정보의 저장고가 됐습니다. 그리고 편리함이 커진 만큼, 이를 노리는 위협도 빠르게 증가하고 있습니다.
한 보고서에 따르면 올해 1분기 의료기관을 겨냥한 사이버 공격은 전년 동기 대비 무려 86% 증가했는데요. 해커들이 의료기관을 주요 표적으로 삼는 이유는 분명합니다. 병원 시스템은 환자의 생명과 직결되기 때문에 24시간 멈출 수 없고, 장비와 시스템이 복잡하게 얽혀 있어 유지보수도 어려운 구조이기 때문입니다.
의료기관 대상 사이버 공격 중 가장 큰 비중을 차지하는 유형은 랜섬웨어입니다. 한국사회보장정보원의 자료에 따르면 최근 5년간 발생한 진료정보 침해사고는 총 100건, 그중 랜섬웨어가 91건으로 압도적인 비중을 차지합니다. 병원 시스템을 마비시킨 뒤, 고액의 금전을 요구하는 방식인데요. 문제는 이 공격이 단순한 데이터 유출을 넘어 환자의 생명까지 위협할 수 있다는 점입니다. 실제로 영국에서는 랜섬웨어로 진료가 중단돼 환자가 사망한 사례도 있었습니다. 또한 유출된 의료정보는 신원 도용, 보험 사기 등 2차 범죄로 이어질 위험성이 매우 높습니다.
그러나 국내 의료기관의 보안 역량은 충분하지 못한 실정입니다. 올해 6월 기준으로 상급종합병원의 보안관제 시스템 도입률은 50%를 넘지만, 종합병원은 7%대, 병·의원은 0.007% 수준에 불과합니다. 상급종합병원은 연간 16만 명 이상, 종합병원은 4만 명 정도의 환자를 진료한다는 점을 고려하면 이 수치는 매우 위험한 수준입니다.
이처럼 위협은 증가하지만 보안은 취약한 상황에서, 병원의 보안성 검토는 더 이상 선택이 아닌 필수입니다. 보안성 검토란 「행정안전부 정보보안지침」 제2장 제2절에 따라 정보화사업 계획 수립 단계에서 보안대책을 수립 및 시행하고, 안전성을 확보하는 활동을 말하는데요.
병원 보안성 검토의 절차는 크게 두 단계로 나뉩니다. 먼저 기획 단계에서는 기관 내부 규정과 지침이 정보보호 요구사항을 적절히 반영하고 있는지 확인합니다. 이후 설계 및 구현 단계에서는 시스템의 보안 취약점을 파악하고, 물리적ᆞ기술적 점검을 통해 이를 보완합니다. 이미 행정안전부의 정보화업무 처리 규정에서도 사업 계획 수립 또는 정보통신제품을 도입하는 경우에 보안적합성 검증을 받아야 한다고 명시돼 있습니다.
병원 보안성 검토를 실행하는 구체적인 방법을 알아볼까요? 예를 들어, 환자 정보가 안전하게 전송되도록 정보시스템에 암호화 통신을 적용하거나, 환자 데이터를 연구에 활용할 경우 가명처리 여부를 철저히 확인하는 방법이 있습니다. 만약 클라우드를 사용하고 있다면 해당 서비스의 아키텍처와 보안 취약점 등을 파악하고, 보완하는 방법도 있겠습니다. 물론 가장 좋은 방법은 각 의료기관이 현재 우리 조직의 보안 상태 및 IT 시스템 도입 현황을 정확히 파악하고, 이에 맞는 보안 체계를 구축하는 것입니다.
전문가들은 특히 의료기관의 경우, 가능한 초기부터 보안 체계를 마련하는 것이 좋다고 강조하고 있습니다. 의료기관은 가장 민감한 개인정보를 다루기 때문에 보안 리스크는 크지만, 여러 의료 시스템이 복잡하게 연결돼 있어 추후 유지보수 및 변경은 쉽지 않은데요. 따라서 초기부터 보안을 설계하는 것이 위험도, 비용, 업무 효율 등 모든 면에서 가장 현명한 선택이 되는 것이죠. 또한, 점차 강화되는 법적 규제에 대응하기 위해서도 가능한 빠른 시일 내에 보안 체계를 마련하는 방법을 권장하고 있습니다.
파수는 의료기관 맞춤형 보안 컨설팅 역량을 바탕으로 보안 기획 단계부터 실제 구현 단계까지, 병원 보안성 검토의 전 과정을 체계적으로 지원합니다. 각 기관의 보안 수준을 정확히 진단할 수 있도록 돕고, 암호화 통신, 가명처리, 클라우드 보안 등 의료기관 환경에 최적화 된 솔루션을 제공합니다.
증가하는 사이버 공격에 대비하고 의료기관의 안전을 강화하고 싶다면, 언제든 파수를 찾아주세요.
파수의 전문 컨설턴트가 의료기관 맞춤형 보안 상담을 제공해 드립니다.
