1970년부터 30년간 의료정책을 실시한 핀란드 사례를 보면 이러한 개인의 건강습관을 변화시키는 것이, 현대의 약 처방 및 처치보다 건강을 훨씬 개선한 결과를 도출하였고 의료비용을 대폭 낮추고 있음을 확인할 수 있었다.
의료기관에서는 오래전부터 정보통신기술(ICT, Information Communication Technology)과 의료기술을이 융합·발전하고, 사물인터넷기술을 활용한 각종 IoT 기기를 활용하여 민감한 신체건강정보를 포함한 개인건강정보가 집적되어 유통되는 네트워크 기반의 의료기기가 폭발적으로 증가하고 있다.
세계적 ICT 기업인 IBM에서 인공지능 기술을 응용한 닥터왓슨(Dr. Watson)으로 암 치료에 활용하고 있고, 구글 알파고와 같이 빅데이터(Big Data)를 활용한 정밀의료 등의 분야에서 최첨단 기술이 빠른 속도로 도입되고 있다.
최근 의료기관을 대상으로 하는 랜섬웨어 공격이 급증하고 있는 추세인데 해커가 치료에 필수적인 의료정보를 지워 버리고 돈을 달라고 하는 경우, 의료기관에서는 환자 치료를 위해서 어쩔수 없이 지불할 수 밖에 없는 실정을 악용하고 있는 것이다. 2017년 5월 발생한 워너크라이(Wanna Cry) 랜섬웨어 공격으로 영국의 ‘국민건강서비스(NHS)' 산하 40여개 병원에서 많은 PC가 감염되어 모든 의료서비스가 중단되었던 사태는 의료기관의 정보보호 취약성과 위험성을 단적으로 보여주는 예라고 할 수 있다. 영국 국가감사원 보고서에서는 “워너크라이 공격은 상대적으로 정교하지 않은 공격이었고 기본적인 IT 사이버보안 모범 관행을 이행했다면 미리 막을 수 있었다”고 지적했다.
의료정보, 의료정보시스템, 의료기기들을 대상으로 사이버침해가 발생할 경우 진료서비스가 중단되거나 기기의 오작동으로 인하여 환자의 생명과 건강에 치명적인 손상이 발생할 수 있다. 이에 따라 의료정보시스템과 의료기기를 대상으로 한 사이버 위협과 공격 가능성이 증가하고 있어 정보보호의 필요성과 대응이 중요하게 되었다.2018년 7월24일 싱가포르 헬스 서비스(Singapore Health Services, SingHealth)에서 150만 환자들의 개인정보 유출 사건이 발생하였는데 조사 결과 SingHealth 의료서비스 서버 1대가 해커에 의해 악성 코드에 감염된 것으로 나타났으며, 싱가포르 보건성 장관의 발표에 의하면 이번 공격은 리센룽 총리의 개인건강정보를 대상으로 의도적이었고, 표적형 공격으로 주도면밀한 계획 하에 수행되었다고 한다. 특히 리센룽 총리의 의료기록을 반복적으로 노린 흔적이 발견되었다고 한다.
개인이 사용하는 신체 이식형 의료기기에서도 아주 위험한 해킹 사례가 보고되었다. 미국 FDA는 2017년 1월 세인트주드메디컬사의 몸속에 이식된 심장박동기(implantable pacemaker)와 가정에 설치된 심장박동기 게이트웨이에서 심각한 보안 취약성을 발견했다고 ‘safety communication’을 통하여 발표하였다. FDA는 가정용 게이트웨이(Merlin@Home)를 원격에서 공격함으로써 체내 삽입된 심장박동기의 배터리를 순식간에 소진시키거나 심박수를 위험수준까지 급상승시키는 오작동을 발생시킬 수 있다는 사실을 확인하였다. 이미 전 세계적으로 수십 만 대가 보급되었던 해당 제품에 대한 보안 취약성 경고는 의료기기의 사이버공격의 위험성에 대한 경각심을 불러일으키는 계기가 되었으며 2017년 말까지 50만대에 대한 리콜 조치가 있었다.의료기관에서는 보안패치와 업데이트가 불가능할 정도로 노후된 의료기기와 네트워크 기반의 최첨단 의료기기 및 의료시스템이 공존하면서 운용되고 있다. 규모나 특성, 용도가 다양한 수 만대의 의료기기들이 IT 담당자는 물론 의료기기 담당자의 관리 범위 밖에서 사용되고 있는 상황이다. 기기들이 어떻게 운용되고 관리되는지 현황 파악이 잘 되지 않은 채로 사용되고 있음에 따라, 가장 취약한 잠재적 공격면(attack surface)으로서의 위험성을 내포하고 있다.
미국에서는 2013년 2월 19일 오바마 대통령에 의해 주요기반시설의 사이버보안 강화를 위한 행정명령 (EO 13636)이 발의되었으며, 보건의료분야를 주요 기반시설에 포함시켰다. 이를 기반으로 2014년 NIST (National Institute of Standards and Technology)에서 ‘Framework for Improving Critical Infrastructure Cybersecurity’를 발표했고, 미국 보건복지부에서는 의료기관에서 적용할 수 있는 보안 대응방안을 제공하였다. NIST 에서는 2018년 4월 ‘공급망사슬 위험관리(Supply Chain Risk Management)’를 추가한 개정본을 발표하였다.FDA는 ‘Content of Premarket Submissions for Management of Cybersecurity in Medical Devices(2014. 10)’와 ‘Premarket Management of Cybersecurity in Medical Devices (2016. 12)’를 발표하여 의료기기 출시 전 인허가 과정에서의 사이버보안 고려사항과 Merlin@Home 사례와 같이 이미 출시되어 사용하고 있는 의료기기를 위한 사이버보안 가이드를 제시하였다.
국내에서는 사회보장정보원에서 의료보안 정보공유분석센터(ISAC, Information Sharing and Analysis Center)를 구축하여 운용할 계획을 갖고 적극적으로 대처하고 있으며, 보건산업진흥원 웹 사이트:동향과 정보 → 보고서 → 연구보고서 디렉토리 밑에서 아래 보고서 내에
ㅇ 진료정보교류 정보보호 가이드(통합본) ← 1차년도 보건의료정보화를 위한 진료정보교류 기반 구축 및 활성화
ㅇ 의료기관을 위한 정보보호안내서(병원편, 의원편) ← 의료서비스
ㅇ 직무별 정보보호안내서(병원 최고경영자, 의사, 간호사, 의료IT 전문가) ← 2차년도 보건의료정보화를 위한 진료정보교류 기반 구축 및 활성화 연구보고서
ㅇ 직무별 정보보호안내서(의무기록사, 의료기기 담당자) ← 3차년도 보건의료정보화를 위한 진료정보교류 기반 구축 및 활성화 연구보고서
등을 다운로드 받아서 살펴 보면 정보보호 및 개인정보보호를 위해서 대처할 수 있는 방안을 기술해 놓았다.
또한, 국내 최고의 정보보호 기관인 한국인터넷진흥원 사이트 내 : 자료실→ 관련법령·기술안내서 → 기술안내서 가이드 디렉토리 밑에서
ㅇ 정보 보호 시스템 안전 → 신규 서비스 정보 보호 → 스마트의료 사이버보안 가이드
를 다운로드 받아서 살펴 볼 수 있다.
의료기관에서 운용하는 의료정보시스템과 의료기기에 대한 사이버 위협과 공격에 대한 대응방안을 고려하게 된다면 의료기관의 안전성과 신뢰성을 확보할 수 있게 될 것이다.