의료 데이터의 가치가 급등하면서 국내 병원이 사이버 공격의 주요 표적이 되고 있지만 상당수 의료기관은 보안 예산과 전문 인력 부족으로 사실상 무방비 상태에 놓여 있는 것으로 나타났다.
12일 한국보건사회연구원의 '의료기관 사이버보안 개선을 위한 정책 방안 연구' 보고서에 따르면 상급종합병원(41곳)과 종합병원(222곳) 등 전국 의료기관 263곳을 대상으로 실시한 온라인 설문 결과 44곳(16.7%)은 지난해 정보보호 예산을 전혀 편성하지 않았다.
정보보안 예산은 정보시스템의 기밀성·무결성·가용성을 유지하기 위한 보호 활동에 투입되는 재원을 의미한다.
전체 응답 의료기관의 79.1%는 정보보안 담당 인력이 부족하다고 답했다. 병원 한 곳당 정보보안 담당 인력은 평균 0.9명으로 사실상 전담 인력이 없는 수준이었다.
병원 규모에 따른 보안 투자 격차도 크게 나타났다. 상급종합병원의 평균 정보보안 예산은 8억2260만원이었지만 종합병원은 5870만원에 그쳤다.
보안 공백은 실제 피해로 이어지고 있다.
최근 3년 이내 사이버 보안 사고를 경험한 병원은 전체 응답 기관의 6.5%(17곳)였다. 사고 원인(복수 응답)은 외부 사이버 공격이 16건으로 가장 많았고 시스템 노후화 등 기술적 취약점 13건, 관리적 취약점 10건이 뒤를 이었다.
한 종합병원은 랜섬웨어 공격으로 약 20테라바이트 규모의 환자 영상 데이터가 암호화됐고 일부 데이터는 영구적으로 손실됐다. 또 다른 소규모 의원에서는 환자 진료 기록 접근이 차단돼 해커에게 가상화폐 약 126만원을 지급한 뒤에야 복구가 가능했다.
백업 데이터를 구축해 놓고도 동일 네트워크에 연결된 상태로 방치해 본 데이터와 백업 데이터가 동시에 손상되는 사례도 반복되고 있는 것으로 나타났다.
연구진은 의료기관 사이버 사고 상당수가 고도화된 해킹 기술보다 보안 패치 미적용, 계정 관리 미흡, VPN 취약점 방치 등 기본적인 보안 관리 실패에서 비롯된 경우가 많다고 분석했다. 이러한 취약점은 진료 지연이나 수술 일정 차질, 의료 데이터 손실 등 실제 의료 서비스 연속성에도 직접적인 영향을 미칠 수 있다고 지적했다.
의료기관의 디지털 전환이 빠르게 진행되는 점도 위험 요인으로 지목된다.
전자의무기록(EMR), 의료영상저장전송시스템(PACS), 원격의료 플랫폼, 클라우드 서비스 등 다양한 정보 시스템이 연결된 복합 환경이 구축되면서 보안 취약점이 확대되는 구조적 특성이 확인됐다. 의료 데이터 활용 확대 자체가 사이버 공격 표적화를 강화하는 요인으로 작용하고 있다는 분석이다.
해킹 사고 대응 체계 역시 충분하지 않은 것으로 나타났다.
24시간 해킹 감시 체계를 운영하는 병원은 전체 응답 기관의 57%에 그쳤다. 사고 발생 시 관계 기관 신고를 주저하는 경향도 확인됐다.
병원들은 신고 기피 이유(복수 응답)로 법적 부담(43.4%)과 평판 손상 우려(40.2%)를 가장 많이 꼽았다. 환자 정보 유출에 따른 책임과 환자 감소 등 경제적 피해 가능성을 우려해 사고를 외부에 알리지 않는 사례가 적지 않은 것으로 분석된다.
현행 제도 역시 한계가 있다는 지적이다. 개인정보보호법 등 일반 정보보안 법체계는 사고 대응 전 과정을 포괄하지만 의료법 체계는 예방과 탐지 중심 구조로 설계돼 사고 이후 대응과 복구, 사후 평가 체계는 상대적으로 미흡한 것으로 분석됐다.
의료기관들은 보안 문제 해결을 위해 정부의 재정 지원이 가장 시급하다고 입을 모았다.
기술 자문이나 교육보다 현장에 즉시 투입 가능한 예산과 인력 확보가 우선이라는 것이다. 또 해킹 신고율을 높이기 위해서는 법적 보호 제공과 신고 절차 간소화가 필요하다는 의견도 제시됐다.
전문가들은 의료기관 사이버 보안이 더 이상 병원 내부 정보기술 문제가 아니라 국민 생명과 직결된 국가 보건의료 체계 안정성 문제라고 강조했다.
연구진은 단기적으로 보안관제 서비스 확대와 랜섬웨어 대응 체계 구축이 필요하며 중장기적으로는 의료기기·공급망 보안 인증 제도 도입과 자동화된 사고 신고 플랫폼 구축 등 국가 차원의 대응 체계 마련이 시급하다고 제언했다.