|
23일 관련 업계에 따르면 최근 국내·외 의료기관에 대한 해킹 시도가 이어지고 있다. 최근에는 싱가포르에서 의료보험기관인 싱헬스(SingHealth)를 통해 약 150만명의 진료 정보가 유출되며 파장이 일었는데, 피해자 중에는 리셴룽 싱가포르 총리도 포함됐다고 외신들이 전했다.
◇해커들의 높은 관심, 빅데이터 불안감으로 번질 수도
의료 분야의 개인정보는 민감한 정도가 높은 대표적인 분야로 꼽힌다. 가장 예민한 요소인 질병 이력은 물론이고, 주민등록번호나 사회보장번호 같은 개인 신분을 나타내는 번호, 의료비 결제에 따른 금융정보와 거주지 정보까지 포함돼있다. 특정인의 유전 질병을 알아낼 경우 일가족이나 친족에도 피해가 생길 수 있다.
때문에 금융기관과 함께 의료기관은 해커들의 공격 대상으로 자주 노출된다. 미국 사이버 보안 업체 파이어아이에 따르면 지난해 중대한 사이버 공격을 받은 상위 3대 업종 중 하나로 의료 분야를 꼽았다. 지난 2016년에는 랜섬웨어 공격으로 미국과 유럽 등지에서 대형병원 업무가 전부 마비돼 환자를 다른 병원으로 옮기는 전원 조치가 이뤄지기도 했다. 지난해에는 국내 대학병원 등이 공격을 받아 혼란을 겪었다.
의료 분야에 대한 공격이 이어지는 이유는 랜섬웨어 건처럼 사회적인 혼란을 유발하는 것은 물론, 민감한 정보를 빼내 활용하거나 암시장(다크웹)에서 거래할 수 있는 수익원도 될 수 있기 때문이다. IBM은 최근 내놓은 보안 관련 보고서에서 “전 세계적으로 의료 산업이 데이터당 금전적 피해가 가장 큰 산업으로 나타났다”고 설명했다.
보안 전문가들은 “의료기관의 경우 비영리 조직이거나 금융기관 대비 보안 예산이 적어 그만큼 위협에 노출되기 십상”이라고 지적한다.
◇“ISMS 인증 의무화 이은 후속조치도 신경 써야”
이에 따라 관련 업계와 기관들의 개인정보 관련 보안노력도 강화 추세다. 과학기술정보통신부도 교육기관과 함께 대형 병원에 대해 정보보호관리체계(ISMS) 인증을 의무화하는 규제를 시행해 현재까지 40곳이 이를 획득했다.
하지만 단순히 인증 체계 준수를 넘어 더 높은 수준의 대응이 필요하다는 지적도 나온다. 보안 업계 관계자는 “ISMS 인증은 어디까지 최소한의 요건에 대한 진단으로, 모든 해킹 위협을 차단한다는 의미는 아니다”라며 “중소형 병원의 사이버 보안 대응 체계 점검은 물론 대형 병원도 날로 정교해지는 공격에 대응하기 위한 역량을 쌓아야 한다”고 말했다.
최근에는 개인 진료기록 등 의료 개인정보를 비식별화해 빅데이터로 모아 분석·활용하는 사례가 확산되면서 그만큼 정보 유출에 대해 우려하는 목소리도 커질 가능성이 있다.
현재도 시민단체 등이 “개인정보 비식별화 조치가 완벽하지 않다”며 비판하는 마당에 유출된 자료와 결합되는데 따른 부담감도 역시 높아진다는 게 현장 이야기다.
