‘인터넷나야나’ 랜섬웨어 사태를 계기로 중소형 IT 기업은 물론 중소형 의료기관의 개인정보 보호체계에도 관심을 기울여야 한다는 목소리가 높아지고 있다. 민감한 개인 의료정보를 다루는 만큼 영세 병원의 사정을 반영한 현실적인 보안 기준 마련 및 지원이 필요하다는 지적이다.
26일 관련 업계에 따르면 최근 헤커들이 보건의료 분야에 대한 공격을 확대하고 있지만 의료기관의 보안조치는 허술한 것으로 나타났다. 일부 중소형 병원은 윈도우95, 윈도우XP 등 보안 업데이트가 지원이 안 되는 운영체제(OS)를 사용하거나 환자 정보를 USB로 보관하거나 주고 받는 등 보안에 매우 취약한 상황이다. 임홍철 안랩 관리컨설팅팀 부장은 “최근 병원이 악성코드의 주요 공격대상에 포함되는 추세”라며 “일부 의료기관은 여전히 노후화된 시스템을 쓰고 있어 최신 보안 솔루션을 사용할 수조차 없는 경우도 있다”고 말했다.
전문가들은 헤커의 공격 대상이 중소형 IT 기업에서 의료기관으로 확산 될 가능성이 높다고 분석한다. 이미 해외는 의료 분야를 겨냥한 공격이 크게 늘었다. NTT그룹이 조사한 바에 의하면 지난해 보건의료 분야의 랜섬웨어 공격이 15%로 비즈니스 전문 서비스 영역, 정부 서비스 부분에 이어 세 번째로 많았다. 개인 의료 정보에 대한 활용 가치가 점차 커지면서 이를 대상으로 한 공격이 늘어난 것이다. 지난해 미국 할리우드 장로교 의료센터는 랜섬웨어 공격으로 방사선 촬영 등 의료 서비스가 중단돼 최대 300억원의 피해를 입었다.
현재 국내 중소형 의료기관은 정보보호관리체계(ISMS) 인증 의무화 대상에서 빠져있어 보안의 사각지대로 꼽힌다. 정보통신망법은 연간매출액 또는 세입이 1,500억원 이상인 상급 종합병원만 ISMS 인증을 의무화했다. 그나마 43개 대상 병원 중 삼성서울, 서울아산, 삼성강북, 조선대, 순천향대 천안, 울산대 등 6곳만 인증을 취득했다.
업계의 한 관계자는 “ISMS 인증을 받기 위해 수천만 원이 넘는 컨설팅을 받아야 하다 보니 영세 업체들이 의무화 대상에서 빠졌다”며 “영세하다고 해서 다루는 개인정보 중요도가 다른 것은 아닌 만큼 이들을 위한 보안 기준이 필요하다”고 언급했다. 미래창조과학부의 관계자는 “일반적으로 영세 업체를 대상으로 보안관리체계 구축과 관련한 보안 메뉴얼이 있긴 하지만 준수 의무화도 아니고 잘 알려져 있지 않아 모르는 경우가 많다”고 설명했다.
