광고
광고
광고
광고
광고
로고

3년새 74개 의료기관 사이버공격…환자정보 대량유출 의혹

김선아 기자 | 기사입력 2023/11/21 [16:33]

3년새 74개 의료기관 사이버공격…환자정보 대량유출 의혹

김선아 기자 | 입력 : 2023/11/21 [16:33]
본문이미지

▲ /사진 제공=김영주 국회의원실     ©

전국서 랜섬웨어·디도스 해킹 등 공격

해마다 증가…올해 들어서만 17건 발생

의료기관 금전 손실도…피해규모 '쉬쉬'

침해예방서비스 가입, 종합병원 7% 불과

 

김영주 "최대규모 상급병원 개인정보유출

복지부 등 관계기관 즉각 실태조사 나서야"

 

[동아경제신문=김선아 기자] 국회 보건복지위원회 소속 김영주 의원(더불어민주당/영등포갑)이 보건복지부, 한국사회보장정보원, 한국인터넷진흥원, 교육부로부터 받은 자료에 따르면, 최근 3년간 총 74개 의료기관(병원)에서 사이버 침해사고가 발생한 것으로 드러났다. 

 

병원 규모별로 살펴보면, ▴상급병원급에서 총4건(5.4%), ▴종합병원급 13건(17.5%), ▴일반병원급 22건(29.7%), ▴의원급에서 35(47.2%)건에 달하는 침해사고가 발생했다. 2020년에 발생한 침해사고는 13건, ▴21년 21건, ▴22년 23건, ▴23년 7월 기준 17건으로, 침해사고가 매년 증가하고 있는 추세다. 

 

그동안 발생한 침해사고는 총4가지 유형으로 분류할 수 있다. 환자진료정보 파일을 암호화해 사용 불가 상태로 만들어 금전을 지불하도록 유인하는 ▴랜섬웨어 악성코드가 68건(90.5%), ▴DDoS(디도스)공격이 2건(3.16%), ▴해킹이 2건(3.16%), ▴IP유해 공격이 2건(3.16%)으로, 약 90%이상이 악성코드 랜섬웨어 공격인 것으로 확인됐다. 

 

본문이미지

 

사이버 침해사고가 가장 많이 일어난 지역은 서울지역으로 최근 3년간 총26건(35.1%), 다음으로는 경기도에서 12건(16.2%), 광주광역시 6건(8.1%), 경상남도 6건(8.1%), 부산광역시 5건(6.7%) 순으로 침해사고가 발생한 것으로 나타났다. 

 

이러한 사이버 공격들은 의료기관에 막대한 피해를 줄 뿐만 아니라, 환자들의 개인정보가 유출될 수 있어 더욱 각별한 주의를 요하고있다. 특히 상급병원이나 종합병원처럼 규모가 큰 병원일수록 환자들의 개인정보가 수십만 건 유출될 수 있어 더욱 위험하다는 지적이다. 

 

본문이미지

 

실제로 2020년 9월 원광대학교 병원은 DDoS공격을 받았고, 서울대학교병원은 2021년 7월과 22년 7월 두 차례에 걸쳐 랜섬웨어 공격을 받았다. 

 

또한 2022년 2월에는 대전을지병원이 랜섬웨어 공격을 받았고, 2022년 3월에는 부산대동병원의 병원 홈페이지를 통해 환자개인정보가 유출되는 사고가 발생하기도 했다. 2022년 11월에는 중앙대학교병원 의료장비가 랜섬웨어 공격을 받았고, 지난달에는 이대서울병원 서버가 랜섬웨어에 감염돼 일부 환자개인정보가 유출되기도 했다.

 

한편 랜섬웨어, 해킹, 디도스 공격 등으로 다수의 의료기관이 금전적 피해를 본 것으로 확인됐다. 사이버 공격을 하는 집단들은 의료기관을 공격한 후 랜섬노트라는 것을 남기는 것으로 확인됐다. 랜섬노트란, 피해 의료기관 관계자에게 감염사실을 알려주고, 공격자와의 연락 방법(이메일, 텔레그램 등) 및 복구비용 등을 피해의료기관 컴퓨터 화면에 남기는 것을 뜻한다.  

 

A종합병원은 4500만원을 주고 랜섬웨어로 암호화된 환자진료정보를 복구했고, B의원의 경우에는 3300만원을 주고 복구업체를 통해 해커와 협상 후 상황을 마무리 짓기도 했다. 그밖에도 복구비용으로 미화 1500달러를 준 의료기관부터, 비트코인으로 복구비용을 지불한 병원 등이 있던 것으로 밝혀졌다. 

 

이같이 의료기관이 지속적으로 랜섬웨어, 해킹, 디도스와 같은 사이버 침해사고를 당하는 이유는 국내 의료기관들이 의료정보보호센터 보안관제 서비스에 가입하지 않고 있기 때문으로 확인됐다. 

 

현재 보건복지부 산하 한국사회보장정보원은 '의료법'제23조의4(진료정보침해사고의예방및대응)에 근거해 국내 의료기관들을 대상으로 사이버 침해사고를 예방하는 보안관제 서비스 업무를 맡아 진행하고 있다. 또한 국내 상급병원 중 국공립 대학병원들은 교육부에서 운영하는 보안관제 서비스에 별도로 가입하고 있다. 

 

하지만 국내 상급병원 45개 중 해당 서비스들에 가입한 의료기관은 15개, 대학병원 중 교육부에서 운영하는 보안 서비스에 가입한 12개 의료기관을 제외하고 나머지 18개(40%) 상급병원은 사이버 침해사고 위험에 그대로 노출돼 있는 것으로 나타났다. 또한 전국 267개 종합병원 중 해당 보안관제 서비스에 가입한 의료기관은 고작 19개(7.1%)에 불과했다. 

 

일반 병원이나 의원급보다 상대적으로 병원 규모가 큰 상급병원이나 종합병원에서조차 해당 보안 서비스를 가입하지 않는 이유는 서비스 가입이 법적으로 의무화되지 않았고, 연간 지불해야 하는 서비스관리 연회비에 부담을 느끼기 때문인 것으로 나타났다.

 

또한 보안서비스를 가입하면 이와 관련된 전산인력도 충원해야 하기 때문에 관련 서비스를 가입하지 않고 있는 것으로 밝혀졌다. 

 

앞서 사이버 침해사고를 당한 원광대학교병원, 부산대동병원, 진주제일병원 등은 보안관제 서비스에 가입하지 않은 것으로 확인됐다. 

 

이에 김영주 의원은 “의료법상 사이버 침해사고 예방 서비스 가입이 의무화이지 않다는 이유로 상급병원이나 종합병원들이 보안관제 서비스 가입에 소홀한 실정이다”며, “관련법 개정을 통해 일정 수준 이상의 병원들의 보안관제 서비스 가입 의무화 및 이를 소홀히 한 병원들에 대한 과태료 상향을 추진하겠다. 또한 보건복지부와 한국사회보장정보원은 하루속히 피해 의료기관들 중 환자개인정보 유출 여부에 대해서 전수조사해야 한다”고 했다. 

 

한편 김영주 의원은 국내 상급병원과 종합병원이 한국사회보장정보원의 사이버 침해사고 예방 서비스에 의무적으로 가입하도록 「의료법」개정안을 준비 중에 있다. 

  • 도배방지 이미지