"병원들 정보보호 투자 미흡...평균 8억까지 하락"
"단 1건의 환자 건강정보가 유출된다고 하더라도 민감정보에 해당하기 때문에 의료기관의 침해사고는 더욱 치명적이다. 의료기관의 데이터는 이처럼 공격 가치가 높으나, 의료기관의 방어 수준은 평균 대비 낮다." 박종환 삼성서울병원 상무는 17일 이같은 내용을 골자로 한 '사이버 리스크 시대 의료 보안 현황과 최근 이슈'를 주제로 '제32회 정보통신망 정보보호 컨퍼런스'에서 발표했다. 이 행사는 한국정보보호학회가 주관했다. 박 상무는 "삼성서울병원만 하더라도 410만명의 개인정보를 취급하고 있으며, 서버만 510대, 의교기기 600종, 1만 대의 의료장비, 야간에 도는 물류 로봇, 의료진이 사용하는 PC 등 수많은 정보처리 기기가 있다는 특징이 있다"면서 "아울러 환자 방문부터 진료, 검사, 수술, 귀가 후 재방문까지 데이터가 지속 생성·관리된다"고 밝혔다. 그는 "이에 병원은 365일 24시간 시스템 가용성을 유지해야 하며, 보안 패치로 인한 서버 중단은 최소화하고 있다. 보안 업데이트는 사전 계획과 연습을 통해 신중히 진행한다"며 "그러나 의료기관 정보보호 현실을 보면 정보보호 인력은 평균 2.5명으로 정보기술 인력 평균 45.5명 대비 현저히 낮은 수준이며, 정보보호 투자액은 8억 원으로 정보기술 투자액 106억6000만 원 대비 평균에 한참 미치지 못하는 수준이다"라고 진단했다. 그는 "특히 정보보호 투자액의 경우 서울아산병원과 삼성서울병원의 정보보안 투자액이 35억 원을 웃돌았지만 수많은 병원 투자액이 10억 원 미만으로, 평균이 8억 원까지 내려왔다"며 "얼마나 많은 병원이 정보보호에 투자하고 있지 않은지 보여주는 대목"이라고 역설했다. 이 외에도 박 상무는 "병원은 여러 핵심 운영 리스크를 떠안고 있다"고 강조했다. 박 상무는 ▲권한 관리 리스크 ▲설정 오류 리스크 ▲위탁·공급망 리스크 ▲랜섬웨어 리스크 ▲가용성 리스크 등의 리크스가 산재해 있다고 우려했다. 그는 의료기관 보안 역량 제고를 위해 9가지 분야의 18가지 대응안을 제시했다. ▲PIA, ISMS-P 등 추가적인 보안 통제 노력 ▲개인식별 정보 추가 암호화 적용 ▲EoS 서버, 핵심 시스템은 생체 인증 추가 ▲홈페이지 등 고객 시스템도 MFA(다중 속성 인증) ▲병원별 DRB 운영 강화, 연구 데이터 유출 탐지, 정보 주체 요구에 따른 마이데이터 전송 준비 ▲비인가 IT자산 탐지 솔루션 구축 ▲병원의 노출 공격 표면 자동 진단 및 모의 해킹 ▲AI를 통한 행위기반 실시간 이상행위 탐지 ▲특정 키워드, 고위험군 집중 모니터링 ▲AI를 활용해 법령 준수 사항 자동 점검 ▲수탁사 관리 포털 구축을 통해 업무 효율화 등이다. 박 상무는 "사이버 보안 위협이 고도화됨에 따라 개별 기업이나 기술만으로는 방어가 불가능하다"면서 "국가, 산업, 개인, 학계 등과 연계 대응할 수 있어야 실질적인 대응이 될 것"이라고 밝혔다.
