얼마 전 서울의 한 병원은 전산망이 마비돼 진료가 불가능한 상황에 처했다. 병원의 전자의무기록이 악성코드에 감염됐고, 이어 랜섬웨어 공격이 이어졌다. 침입자는 정상으로 되돌리는 조건으로 상당액의 비트코인을 요구했다. 병원이 지불한 후 진료가 정상화됐다. 현행 의료법에 따르면 이런 일이 있으면 보건복지부에 즉시 신고해야 하지만 병원 측은 ‘쉬쉬’ 하고 넘어갔다.
개인정보 관리는 쿠팡 같은 유통업체만의 문제가 아니다. 민감한 의료정보를 보유하고 있는 병원도 매우 취약하다. 하지만 7일 의료계에 따르면 일부 대형병원을 제외하면 제대로 대응하지 못하고 있는 것으로 나타났다.
최근 한 대형병원이 랜섬웨어 공격을 받았다. 이 병원은 특이하게도 메인 망과 별도의 우회망을 운영했는데, 이 우회망은 보안체계의 통제를 받지 않았다. 공격자가 우회망으로 침투해 내부 서버에 접근해 악성코드를 심었다. 이후 랜섬웨어를 까는 과정에서 한국사회보장정보원(이하 사보원)의 관제시스템에 걸렸다.
사보원은 즉시 병원 측에 연락해 “랜선을 뽑아라”고 조언했다. 다행히 대형 참사를 면했다. 사보원은 이 병원에 24시간 관제 서비스를 제공한다. 병원 서버의 로그 기록과 네트워크 트래픽을 분석해서 이상 기류를 감지한다. 지난해, 올해 200여건의 공격을 감지해 처리했다.
7만여 병의원 중 43곳만 의료정보 보호 서비스 받아
그런데 사보원의 이런 서비스를 받는 데가 상급종합병원 35개(민간) 중 19곳, 종합병원 270곳 중 20곳, 7만여개 동네의원 중 5곳에 불과하다. 연 1200만~1800만원의 요금을 부담스러워 한다. 이성훈 사보원 의료정보보호센터장은 “악성코드 심기, 랜섬웨어 공격에 이어 내부 정보(진료 정보 등)를 빼가려고 다른 악성코드를 감염(3차 공격)시키기도 한다”며 “다만 여러 번 공격하기 때문에 3차 공격까지는 쉽지 않다”고 말했다.
데이터를 백업하면 랜셈웨어에 걸려도 복구할 수 있다. 하지만 외장 하드에 백업하고 별도 보관해야 하는데, 이렇게 하는 데가 많지 않다고 한다.
병원 직원이 정보를 빼가는 걸 막기도 쉽지 않다. 2023년 7월 개인정보보호위원회는 18만 여명의 환자 정보를 유출한 대형병원 17곳을 적발했다. 직원이 환자 정보를 촬영하거나 다운로드해서 전자우편으로 제약사에 넘기거나 보조저장장치(USB)에 담아 건넸다. 일부는 제약사 직원이 불법적으로 시스템에 접근해 환자 정보를 빼내갔다. 리베이트 관련 수사를 하던 과정에서 이런 불법행위가 드러났다.
이 센터장은 이와 관련, “데이터를 암호화하거나 다운로드 때 관리자 허가를 받게 해야 한다”며 “그리하려면 병원 컴퓨터마다 다운로드 차단 장치를 달아야 하는데 예산이 적지 않게 필요하다”고 말했다.
한 대형병원은 주민번호 등 주요 식별정보 외부 유출 차단, 이동식 저장장치를 통한 유출 방지, 주요 문서 암호화(DRM)로 외부 열람 차단, 개인정보 비정상 접근 여부 모니터링 등의 노력을 기울이고 있다. 사보원의 관제 서비스도 받고 있다. 그리해도 안심하지 못한다고 걱정한다.
대한병원협회 관계자는 “병협은 개인정보보호 자율규제단체로서 관련 법에 따른 회원사(병원) 교육이나 안내를 주로 진행하고 있다”며 “이번 쿠팡 사태처럼 유출 사고가 발생하면 병원들을 대상으로 집중 점검에 나서기도 한다”라고 말했다.
한 종합병원 관계자는 “데이터를 못 보게 차단하지는 못하고, USB에 담아서 가지고 가지 말라고 교육은 한다”며 “외부에서 마음먹고 들어온다면 침투당할 것”이라고 말했다. 부산의 한 의원 원장은 “개인병원은 외부 침투에 취약하다”고 말했다.
"작은 병원 뭐하러 털겠나" "내부 직원 유출엔 속수무책"
성형외과ㆍ피부과 등의 예민한 정보 관리 강화도 절실하다. 지난 2021년 서울 강남의 유명 성형외과가 랜섬웨어 해킹 공격에 환자 정보가 대거 유출되기도 했다. 당시 환자의 성형 전ㆍ후 사진, 의료기록 등을 빼낸 해커가 환자에게 “성형 사진을 뿌리겠다”며 직접 연락해 협박하기도 했다.
의료계에선 별다른 대책이 없다는 입장이다. 경기도의 A피부과 의원 원장은 “우리 같은 작은 병원을 누가 털겠느냐. 보안 프로그램 같은 걸 깔지 않았고 의무도 아니다”라고 말했다. 다만 내부 직원의 유출에 대해선 “그건 어떻게 하든 못 막는 게 아니냐. 속수무책일 듯하다”고 말했다. 서울의 B성형외과 의원 원장은 “메인 컴퓨터에 비밀번호 걸어둔게 보안 대책의 전부”라고 전했다. 서울의 C피부과에 근무하는 의사는 “우리 환자는 거의 다 비보험 환자라서 안전하다”면서도 “막말로 마음만 먹으면 못할 게 없을 것”이라고 말했다.
이성훈 센터장은 “정부의 상급종합병원 인정기준에 우리 원의 관제 서비스를 받는지 여부를 포함하면 어떨까 한다”며 “작은 병원과 의원을 위한 관제 방식을 개발할 방침”이라고 말했다.
☞랜섬웨어(Ransomware)=‘Ransom(몸값)’과 ‘Software(소프트웨어)’의 합성어로 사용자의 컴퓨터를 해킹하거나 데이터를 암호화한 뒤 정상적인 사용을 위해 필요한 복호화 키를 조건으로 금전을 요구하는 악성코드의 한 종류이다.
신성식 복지전문기자, 이에스더, 채혜선 기자 ssshin@joongang.co.kr
![[단독] '해외주식 붐' 이후 5년…10대 증권사 전산장애 100건 육박](https://newsimg.sedaily.com/2025/12/08/2H1NHC6BP8_3.jpg)
