홈 > 커뮤니티 > 랜섬웨어뉴스
2024-07-29 13:21:29
3년 반 동안 ‘74개소’ 공격···매년 ‘증가세’
민감정보 다수 포함···범죄수익 창출 용이
보안 체계 낙후···‘몸값’ 지불 가능성 높아
대부분 관제 서비스 미가입···의무화해야
[이뉴스투데이 이승준 기자] 의료기관이 해커들의 먹잇감으로 전락했다. 개인 민감정보를 다수 보유해 사이버 침해사고의 우선순위에 들었지만 정작 병원들은 여전히 구형 운영체계를 사용하는 등 낙후된 인프라에 머물러 있어 우려가 가중된다. 90% 이상이 보안 체계를 갖추지 못한 이유로 비용과 인력 부담이 꼽히자 정부에서 이를 지원해 줘야 한다는 의견도 나온다.
26일 김영주 전 더불어민주당 의원실이 종합한 자료에 따르면 2020년 2월부터 2023년 7월까지 총 74개 의료기관에서 사이버 침해사고가 발생한 것으로 나타났다. 구체적으로는 상급병원 4건, 종합병원 13건, 일반병원 22건, 의원 35건 등이다. 또 2020년 13건, 2021년 21건, 2022년 23건, 2023년 7월까지 17건 등으로 매년 증가하는 양상이다. 90% 이상은 랜섬웨어였다.
이 같이 의료기관 대상 사이버 공격이 증가하는 이유로는 범죄수익 창출의 용이성이 꼽힌다. 의료데이터는 △사기 청구 △협박 △허위 세금 신고서 제출 △처방약·의료기기 주문 등으로 쉽게 수익을 창출할 수 있어 해커들의 주요 먹잇감이 된다. 특히 상급병원이나 종합병원처럼 규모가 큰 병원일수록 환자들의 개인정보가 수십만 건 유출될 수 있어 더욱 위험하다.
그러나 의료기관은 낙후된 보안 체계로 여전히 ‘몸값’ 지불 가능성이 높은 타깃으로 인식된다. 한국인터넷진흥원(KISA)은 의료 분야의 공격 증가 이유로 △구형 윈도우 사용 △패치 미적용 △긴급 의료 환자의 존재 등을 꼽았다. 병원의 출입 통제가 어려운 점과 동일한 의료 장비 사용은 취약점 노출 시 모든 기관이 동일한 공격을 받을 수 있는 위험요소로도 분류된다.
콜린 쿠이 소프트웨어 어드바이스 의료 애널리스트는 “대부분의 기업은 사이버 공격으로 인해 작동이 멈춘 시간들에서 생산·이윤부터 기업의 명성까지 심각한 영향을 받는다”면서 “작동중단이 의료기관에서 발생할 경우 의료기록에 대한 접근성이 차단되고, 각종 의료장비들이 작동을 멈추고, 긴박한 수술이 미뤄지는 결과로 귀결되고 있다”며 주의를 당부했다.
실제로 2020년 9월 원광대병원은 디도스(DDos) 공격을 받았고, 서울대병원은 2021년 7월과 2022년 7월 두 차례에 걸쳐 랜섬웨어 공격의 대상이 됐다. 2022년 2월에는 대전을지병원이 랜섬웨어 피해를 입었고, 2022년 3월에는 부산대동병원의 병원 홈페이지를 통해 환자 개인정보가 유출되는 사고가 발생했다. 같은 해 11월에도 중앙대병원이 랜섬웨어 공격을 받았다.
대부분 의료기관이 보안관제 서비스에 가입하지 않은 점도 원인으로 지목된다. 김영주 전 더불어민주당 의원은 “국내 의료기관들이 의료정보보호센터 보안관제 서비스에 가입하지 않고 있기 때문에 사이버 침해사고를 당한 것”이라고 지적했다. 보건복지부는 산하 한국사회보장정보원에서 의료법에 의거해 의료기관의 사이버 침해사고를 예방하는 보안관제 서비스를 운영 중이다.
고목동 아크로니스코리아 지사장도 “의료 서비스 제공업체는 환자의 개인정보를 보호하고 모든 규제 요건을 준수하기 위해 IT 인프라에 지속적으로 투자해야 한다”면서 “MSP와 MMSP는 시스템 약점을 파악하고 해결해 고객을 더 나은 위치에 올려놓아 생명을 구하는 역할을 할 수 있으며, 모든 조직은 사이버 보안 대응 시 사전 예방적 태도를 취해야 한다”고 강조했다.
그러나 가입률은 위험 사고 노출 위험성 대비 저조한 수준이다. 45개 상급병원 중 한국사회보장정보원 보안관제 서비스에 가입한 의료기관은 15개소다. 교육부가 운영하는 보안서비스에 가입한 12개 의료기관을 제외하면 18곳이 사이버 침해사고 위험에 노출돼 있었다. 이는 40%에 해당하는 수치다. 전국 267개 종합병원 중 서비스에 가입한 곳은 19개(7.1%)에 불과했다.
의료기관이 보안관제 서비스에 가입하도록 의무화해야 한다는 지적이 뒤따르는 이유다. 김영주 의원은 “서비스 가입률이 낮은 것은 서비스 가입이 의무화되지 않았고 연간 지불 비용에 부담을 느끼는 데다, 서비스 가입을 위해 인력을 충원해야 하기 때문”이라며 “법 개정을 통해 일정 수준 이상의 의료기관이 보안관제 서비스를 가입하도록 의무화해야 한다”고 짚었다.
[ 이뉴스투데이 ] 이승준 기자원문보기