"담당자 1명 둘 돈도 없어"…보안관제 가입한 중소병원 '0.007%'

사이버 공격 위험이 커지고 있지만 대다수의 국내 의료기관은 예방 체계 없이 취약한 상태다. 현장에서는 “단 한 명의 보안 담당자를 두기도 어렵다”는 하소연이 나올 정도로 인력과 예산의 한계가 뚜렷하다.

17일 서미화 더불어민주당 의원실에 따르면 상급종합병원 전체 35곳 중 16곳이 한국사회보장정보원 보안관제 서비스에 미가입된 것으로 확인됐다. 종합병원 가입률 역시 7.4%로 저조했다. 올해 들어 일반 중소 규모 병의원 5곳이 새로 관제 서비스에 가입했지만 나머지 99.993%는 여전히 사각지대에 머물러 있다.

보안관제 서비스는 의료기관 전산망을 24시간 모니터링해 사이버 공격을 탐지하는 공적 시스템이다. 가입된 의료기관에서는 그간 침해 사례가 전무했을 정도로 효과도 검증됐다. 하지만 의무가 아닌 데다 정부 지원 부족과 그로 인한 비용 부담이 민간 의료기관 가입의 발목을 잡고 있다. 장비 구축에는 초기 비용만 약 8600만 원이 소요된다. △위협탐지(TMS) 센서 △가상사설망(VPN) △네트워크 복호화 장비 등이 여기에 해당된다.

실무자들은 인력과 예산 부족이 의료정보 보호의 최대 걸림돌이라고 토로한다. 한기태 디지털헬스보안협회 회장은 “상급종합병원조차 보안 인력이 1~2명에 불과하고 대부분 정보기술(IT) 부서 직원이 겸직하는 구조”라고 말했다. 전담 인력이 없는 대부분의 중소형 병의원은 침해 사고가 발생하더라도 파악하거나 조치할 여력이 전무한 상태다.

일단 공격 대상이 된 병원 내부 시스템 구조는 피해 확산의 ‘고속도로’처럼 작용한다. 일선에서 쓰이는 치료 장비 자체의 구조적 취약성도 문제다. 한 회장은 “망 분리가 제대로 이뤄지지 않아 한 대가 감염되면 내부 시스템 전체로 번질 위험이 크다”며 “운영체제가 단종돼 백신조차 설치할 수 없는 의료 장비도 많다”고 지적했다. 이 때문에 업계에서는 공식적으로 신고가 이뤄지지 않은 의료기관 사이버 침해 사례가 더욱 많다고 본다.

전문가들은 실무상 인터넷이 닿지 않는 ‘유출 대비용’ 백업 체계를 별도로 설계하고 사용하지 않는 포트도 반드시 차단해야 한다고 조언한다. 그러나 근본적 피해 예방에는 현장의 인식 개선이 필수로 꼽힌다. 안랩 시큐리티인텔리전스센터(ASEC) 관계자는 “의료기기의 사물인터넷(IoT)화와 원격진료 확대 등으로 공격 표면이 넓어지고 있다”며 “종합적인 보안 전략 수립이 시급하다”고 말했다. 글로벌 보안업체 ESET의 루카스 스테판코 연구원도 “한국의 보안 투자 수준은 세계 평균에도 못 미친다”며 “피해 규모를 감안하면 지금의 대비는 위험할 정도로 미흡하다”고 경고했다.

한편 최근 보안 허점의 발견은 민간과 공공 부문을 가리지 않는 추세다. 이날 국가정보원은 “해커들이 인증서 6개 및 국내외 IP 6개를 이용해 2022년 9월부터 올해 7월까지 행정안전부 재택근무 원격접속시스템을 통과, 온나라시스템에 접속해 자료를 열람했다”고 밝혔다. 본인 확인 미흡과 인증 로직 노출 등 구조적 취약점이 원인으로 지목됐다. 국정원은 2차 인증을 도입하는 한편 인증서 폐기, 접근 통제 강화 등 보완 조치를 시행했다. 김창섭 국정원 3차장은 “진행 중인 조사를 조속히 마무리하고 재발 방지를 위한 범정부 후속 대책을 마련해 이행할 계획”이라고 말했다.