디지털화로 보안 위태한 '병원들'…"모의해킹 등 필요 이유"

[인터뷰] 라온화이트햇 윤원석 전무
성모‧서울대병원 외 의원급에도 해킹 사례 증가…'디지털' 도입 따른 보안 틈새 우려
교육, 취약점 분석 및 평가 등 체계적 보안 시스템 필요

페이스북 트위터 밴드 카카오스토리

[메디파나뉴스 = 박선혜 기자] 빠르게 다가온 '디지털 전환'은 의료기관에도 막대한 시스템 변화를 가져왔다. 


환자들은 진료 전 예약부터, 입원, 검사, 퇴원 과정까지 어플리케이션, 웨어러블 등 다양한 디지털 플랫폼을 통해 손쉽고 빠른 접근이 가능해졌다.


반면, 빠른 디지털화로 인한 문제점도 있다. 최근 디지털 전환 속도를 대비하지 못한 의료기관에서 '사이버 공격' 사례가 급증하면서 피해 사례가 속출하고 있기 때문.


특히 병원은 국민 건강과 관련된 민감한 개인정보를 갖고 있어 보다 체계적인 보안 관리가 필요한 시점이다.


메디파나뉴스는 최근 대학병원을 대상으로 보안 컨설팅을 제공하고 있는 라온화이트햇의 윤원석 전무를 만나 '의료기관 정보시스템 보안의 현재와 미래'에 대해 들어봤다.

 

라온화이트햇 윤원석 전무_01.JPG

 

병원 타깃 해킹 증가…의원급, 약한 '보안' 체계에 속수무책 


최근 서울성모병원 홈페이지가 해킹돼 홈페이지 가입 회원들의 개인정보가 유출된 것으로 드러났다. 


앞선 지난 7월에도 서울대병원의 전산시스템이 해킹 피해를 입었으며, 강남 소재의 대형 성형외과를 비롯 의원급에서도 해킹으로 고객정보가 유출된 바 있다. 


또한 보안업체 파이어아이(FireEye)가 올해 발표한 '2021 맨디언트 M-트렌드 보고서'에 따르면 서비스, 숙박업에 이어 2020년 세 번째로 공격을 많이 받은 분야로 헬스케어 분야가 꼽혔다. 이는 2019년 표적 빈도 8위에서 불과 1년만에 다섯 단계가 상승했다. 


윤 전무는 "이렇듯 의료기관 해킹 사례가 급증하게 된 이유는 코로나19로 인해 원격진료, 비대면 진료가 적용되면서 빠르게 '디지털화(digitalized)'됐기 때문"이라며 "어플리케이션, 웨어러블 기기 등 새로운 중간 루트를 통해 환자와 병원 관계자 모두 병원 정보를 쉽게 접근 가능해져 보안을 뚫을 수 있는 빈틈도 많아졌다"고 설명했다.


이어 "의료기관은 기업과 다르게 개인 의료기록이라는 반드시 보호해야할 자산이 있기 때문에 체계적인 보안시스템 구축이 중요하다"며 "다양한 기기를 통해 새로운 취약점이 추가적으로 발생하고 있어 이전 보안 이슈와는 전혀 다른 위드코로나에 걸맞는 대비가 필요하다"고 말했다.


그에 따르면 대형병원과 의원급 규모에 따라 해킹 수법이나 의도가 다르다.


대학병원 경우 단순한 경제적 취득이 아닌 치밀한 국가차원의 해킹으로 볼 수 있다. 이는 최근 이슈가 되고 있는 북한 해킹 조직을 예시로 들 수 있다. 


의원, 중소병원 경우는 몸값을 요구하는 랜섬웨어, 사이버 공격이 대부분이다. 개인정보를 빌미로 환자, 병원관계자를 협박해 돈을 갈취하는 방식이다.


그는 "대학병원은 사실 대부분 시스템, 전문가가 마련돼 있어 크게 문제가 되지 않지만, 중소병원 이하 규모 의료기관은 보안 환경도 미비할 뿐더러 병원관계자 역시 보안에 관심이 없는 경우가 많다"며 "병원에서 외부사이트를 열어보거나 쉽게 스팸메일에 노출되는 것이 주된 원인"이라고 밝혔다.


보건복지부가 지난 4월 발표한 '2020년 보건의료정보화 실태조사 결과'에서도 국내 병원의 41.7%가 해커의 침입 통로가 되는 외부 상용 이메일 접속을 차단하지 않고 있으며, 컴퓨터에 담긴 환자 개인정보를 완전히 삭제하는 병원도 65.7%에 그치는 것으로 나타났다. 


또한, 병원 보안 담당자들이 보안사고 발생시 해결을 어렵게 하는 가장 큰 요인으로 '보안 기술 전문성 미흡(57.2%)'을 꼽았다.  

 

0000.jpg

 

'모의해킹' 통해 취약점 발견하면 효율적…병원 관계자 모두 인식‧교육은 필수


윤 전무는 "의료기관 타깃 해킹 범죄 피해를 예방하기 위해서는 기본적인 보안 체계에 대한 점검 외에 기술 트렌드와 사회 현상 등을 고려한 보다 적극적인 보안 점검 활동이 수반돼야 한다"며 "상급종합병원을 제외하곤 자발적 보안 관리에만 의존하고 있기 때문에 우선 기관의 인식을 제고하는 것이 중요하다"고 언급했다. 


또한 "IT전문가를 구하기 어려운 현실에서 병원 직원들을 대상으로 기술 훈련을 시행하는 것도 좋다. 간호사나 의사가 기본적인 대응이 가능해야 빠른 차단 및 추적이 가능하다"며 "전문업체가 꼭 아니어도 인터넷진흥원, 개인정보보호위원회에서 제공하는 정보를 적극 활용해 주기적인 교육이 필요하다"고 조언했다.


무엇보다 그는 '모의해킹' 등을 통한 적극적 상시 보안 점검이 크게 도움 될 것이라고 강조했다.


모의해킹은 화이트해커 연구진이 직접 산업 분야별 기술 트렌드와 최신 공격 기술 등을 연구하여 이를 기반으로 침투 시나리오를 작성해 점검을 수행하고, 이 과정에서 발견한 취약점에 대한 보안 대책까지 제시하는 서비스다.


공격자와 방어자의 관점에서 종합적인 시스템 점검이 가능하기 때문에 최신 위협에 대응할 수 있는 강력한 보안 체계를 갖출 수 있는 것이 장점이다. 


최근 라온화이트햇은 라온화이트햇은 중앙보훈병원 병원정보시스템 취약점 분석‧평가를 진행한 바 있으며, 대형병원을 대상으로 모의해킹 서비스 등의 보안 컨설팅 사업을 확대해나가고 있다.

 

윤 전무는 "내부 보안관리도 중요하지만 실제 해킹 위험성이 있는지 확인해보는 것이 가장 정확하다"며 "모의해킹의 경우 새로 시스템을 도입하거나, 변화가 생겼을 때, 보안 상태가 의심스러울 때 한번씩 받아보는 것이 유익하다"고 전달했다.


마지막으로 그는 의료기관 관계자 모두 보안 강화를 위한 '역할'을 지켜야 한다고 역설했다.


그는 "병원 책임자는 비용이 들더라도 환자 정보가 갖는 중요성을 고려해 보안에 관심을 기울여야 하고, 제 역할을 해야 한다"면서 "의료종사자들도 지켜야할 규칙들을 준수해야 한다. 사이트를 열어보거나 공유하는 것이 불법이거나 처벌을 받을 수 있다는 것을 인지해야 한다"고 전했다.


그러면서 "서비스는 계속 새롭게 진화하고 있다. 디지털을 도입하는 것은 좋지만 이전에 전문가들의 지원과 협력을 얻어 개인정부 노출여부, 보안 이슈를 운용하길 바란다"고 덧붙였다.

<ⓒ 2021메디파나뉴스, 무단 전재 및 배포 금지>
'대한민국 의약뉴스의 중심' 메디파나뉴스
페이스북 트위터 밴드 카카오스토리 이메일 기사목록 인쇄

실시간 빠른뉴스
당신이 읽은분야 주요기사

독자의견
  • 김광민 2021-10-21 11:34

    감사해영

메디파나 클릭 기사
  1. 1 "부작용 우려돼 미접종"‥ '방역패스' 확대 조치 반발 여전
  2. 2 휴젤·파마리서치 보툴리눔 허가 취소…소송전 돌입
  3. 3 흐름 따른 외국인 투자자…제약업종 투자 7.8% ↓
  4. 4 휴젤·파마리서치바이오 보툴리눔 제제 품목허가 취소
  5. 5 '간호법' 직역 갈등 있지만…여야 공감 "그래도 빨리"
  6. 6 명문제약, 입장문 게재…엘엠바이오사이언스 피인수 논란 일축
  7. 7 하반기 내내 약세 제약업종, 11월 시총 5.6% 위축
  8. 8 간호법 제정에 간호계 입장 '주목'…간무협 '요구' 반영될까
  9. 9 'JAK억제제' 기전 자체 문제?‥'안전성' 정면 돌파
  10. 10 서울시醫 원격의료연구회 세미나 급진적 논의에…"개인 의견일 뿐"
독자들이 남긴 뉴스댓글
포토
블로그
등록번호 : 서울아 00156 등록일자 : 2006.01.04 제호 : 메디파나뉴스 발행인 : 조현철 발행일자 : 2006.03.02 편집인:김재열 청소년보호책임자:최봉선
(07207)서울특별시 영등포구 양평로21가길 19, B동 513호(양평동 5가 우림라이온스벨리) TEL:02)2068-4068 FAX:02)2068-4069
Copyright⒞ 2005 Medipana. ALL Right Reserved