의료기관 25곳 해킹 등 랜섬웨어 공격, 종합병원급 8곳
김상희 부의장, '진료정보 보호 의료법' 발의

김상희 국회부의장 (사진=의원실 제공)
김상희 국회부의장 (사진=의원실 제공)

[워라벨타임스] 지난 7월 국내 대형병원 중 한 곳인 서울대병원에서 환자 7000여명의 개인정보가 유출된 해킹 사건이 발생 한 적이 있었다.

이처럼 정보통신 기술 발달과 고도화된 해킹 기술로 민감한 개인정보를 취급하는 병원에서 해킹 시도와 악성코드 감염(렌섬웨어)이 이어지는 가운데, 피해 방지를 위한 관련법 개정이 추진 중이다. 

김상희 국회부의장(과학기술정보방송통신위)은 27일 의료기관 해킹 등 침해사고에 대한 긴급조치를 위해 복지부가 관계 부처에게 인터넷주소 등 정보를 요청할 수 있도록 '의료법 일부개정안'을 대표발의 했다고 밝혔다.

개정안은 일정 수준 이상 의료기관이 의료ISAC이나 C-TAS와 같은 정보보안관제를 받도록 하고 '의료정보보호센터'를 복지부가 직접 운영해 침해사고 발생시 관련 부처간 공조를 가능하도록 한 내용을 담고 있다.

김 부의장이 보건복지부로 부터 제출받은 자료를 분석해 공개한 결과에 따르면, 지난해 2월 의료법 개정으로 '진료정보침해대응센터'를 개소한 이후 현재까지 의료기관 25곳이 해킹 등 랜섬웨어 공격을 당한 것으로 조사됐다.

자료에 따르면 해킹 공격을 받은 A병원은 PACS(의학영상정보시스템) 데이터 일부가 랜섬웨어에 감염된 사실 확인 후 서버와 일부 PC를 포맷했으나, 1개월 후 재감염된 것으로 알려졌다.

또 다른 피해를 받은 B병원 경우 랜섬웨어에 전체 EMR(전자의무기록시스템) 정보가 암호화돼 수기로 진료, 민간 복구 업체를 통해 자료 복구 뒤 겨우 정상 진료를 보게 됐다.

이밖의 랜섬웨어 피해 사례는 성형외과 2건, 산부인과와 피부과, 외과, 소아청소년과, 가정의학과, 내과에서 각각 1건으로 의원급 의료기관에서 총 8곳이었다.

성형외과나 산부인과, 피부과는 성형수술과 출산, 임신 등 환자의 민감한 개인정보가 있어 진료정보와 환자정보가 유출된다면, 매우 심각한 문제가 발생할 가능성이 크다.

특히 다수의 환자 진료와 영상 기록물을 보유하고 있어 각별한 보안이 필요한 종합병원급 이상 병원에서도 렌섬웨어와 디도스(DDoS) 공격이 8건 발생한 것으로 확인됐다.

지난해 9월에도 상급종합병원에서 디도스 공격으로 접속 장애가 발생했지만 다행히도 개인정보 유출 등의 피해는 없었던 것으로 밝혀졌다.

상급종합병원이란 20개 이상 진료과목을 갖추고 각 진료과목마다 전문의를 두고 있는 병원으로 우리가 잘 알고있는 대학병원과 대형 종합병원을 뜻한다.

복지부는 지난 2019년부터 의료기관 공동 보안관제센터(의료ISAC·아이삭)를 운영하고 있으며, 현재까지 20개 종합병원과 23개 상급종합병원 전자 침해사고 모니터링을 하고 있다.

한국인터넷진흥원(KISA)을 통해 접수된 의료기관 해킹 정보도 역시 의료ISAC을 통해 공유받고 있다. KISA 역시 해킹 피해를 막기 위해 2014년부터 의료기관, 기업 대상으로 사이버위협정보 분석공유시스템(C-TAS·씨타스)을 구축해 지금까지 운영 중이다.

반면, 의료기관 해킹 관련 대책은 여전히 미흡한 상황이다. 김 부의장이 KISA에서 제출받은 의료기관 C-TAS 가입 현황에 따르면, 45개 상급종합병원 중 5개만 해킹을 예방하고 이에 대한 정보를 공유할 수 있는 C-TAS에 가입했다.

김 부의장은 "국내 상급종합병원 45개 중 씨타스에 가입한 병원이 5개뿐이라는 것은 심각한 문제"라고 지적하며, "씨타스와 의료 아이삭이 연계돼 있지만, 의료기관 해킹 피해를 막기 위해 과기부가 복지부와 논의해 상급종합병원 씨타스 가입 방안 마련이 필요하다"고 강조했다.

문제는 이 뿐만이 아니다. 지난해 12월, 해외 보안전문 업체 CybelAngel(사이벨앤젤)는 약 950만장 대한민국 영상정보가 인터넷에 노출돼 있다는 자료를 배포했다.

복지부는 그 중 의료기관 IP 주소로 확인되고 의료영상이 유출된 58개 의료기관을 과기부에 조치를 요청했지만 현재까지 26개 민간의료기관 영상정보가 그대로 노출돼 있었다.

복지부가 의료기관 해킹 등 침해사고 피해를 빠르게 막기 위해 부처 간 정보 공유가 원활하게 이뤄져야 하지만 현행법상 이러한 규정이 없어 신속한 해킹 대응이 어려운 것으로 나타났다.

김 부의장은 "병원 해킹 피해를 막고 민감한 의료정보 유출을 막기 위해서라도 정보보안관제 가입과 의료정보보호센터의 복지부 직접 운영은 꼭 필요하다"며, "개정안이 하루빨리 통과돼 의료기관 해킹을 사전에 막을 수 있는 방안이 마련되길 바란다"고 주문했다.

저작권자 © 워라벨타임스 무단전재 및 재배포 금지