김영주 의원, “상급병원 환자 개인정보 유출…정부가 나서 실태조사 해야”
최근 3년간 전국 74개 의료기관이 램섬웨어, 해킹, 디도스 등 사이버공격으로 개인정보 유출 및 금전적 피해가 발생한 것으로 나타났다.
더불어민주당 김영주 의원(국회부의장, 보건복지위원회)은 보건복지부와 한국사회보장정보원, 한국인터넷진흥원, 교육부로부터 제출 받은 자료를 분석한 결과 최근 3년간 총 74개 의료기관에서 사이버 침해사고 발생했다고 밝혔다.
자료에 따르면 의료기관 종별로는 △상급병원급 4건(5.4%) △종합병원급 13건(17.5%) △병원급 22건(29.7%) △의원급 35건(47.2%)으로 집계됐다. 총 건수로는 2020년 13건, 2021년 21건, 2022년 23건, 2023년 7월 기준 17건으로, 침해사고가 매년 증가하고 있다는 것.
3년간 발생한 사이버 침해사고는 4가지 유형으로 환자 진료정보 파일을 암호화해 사용이 불가능한 상태로 만들어 금전을 지불하도록 유인하는 랜섬웨어 악성코드가 68건(90.5%)으로 대부분으로 차지했다. 그 뒤를 이어 DDoS(디도스)공격 2건(3.16%), 해킹 2건(3.16%), IP유해 공격 2건(3.16%) 순이었다.
지역별로는 서울이 총 26건(35.1%), 경기도 12건(16.2%), 광주광역시 6건(8.1%), 경상남도 6건(8.1%), 부산광역시 5건(6.7%) 순으로 침해사고가 발생했다.
문제는 이러한 사이버 공격이 의료기관에 막대한 피해를 줄 뿐만 아니라, 환자들의 개인정보를 유출할 수 있다는 것이다. 특히 상급병원이나 종합병원처럼 규모가 큰 병원일수록 환자들의 개인정보가 많은 만큼 각별한 주의가 필요하다는 것.
실제 2020년 9월 원광대학교병원은 DDoS공격을 받았고, 서울대학교병원은 2021년 7월과 2022년 7월 두 차례에 걸쳐 랜섬웨어 공격을 받은 바 있다.
2022년 2월에는 대전을지병원이 랜섬웨어 공격을 받았으며 같은해 3월에는 부산대동병원 홈페이지를 통해 환자 개인정보가 유출되는 사고가 발생하기도 했다. 또 2022년 11월에는 중앙대학교병원 의료장비가 랜섬웨어 공격을 받았고, 최근인 지난 8월에는 이대서울병원 서버가 랜섬웨어에 감염돼 일부 환자 개인정보가 유출됐다고 김 의원은 지적했다.
특히 랜섬웨어, 해킹, 디도스 공격 등으로 다수의 의료기관이 금전적 피해를 입은 것으로 확인됐다.
사이버 공격 집단들이 의료기관을 공격한 후 랜섬노트라는 것을 남기는데 이들은 이를 통해 피해 의료기관 관계자에게 감염 사실을 알리고, 공격자와의 연락 방법(이메일, 텔레그램 등) 및 복구 비용 등을 피해 의료기관 컴퓨터 화면에 남긴다.
이 때문에 A종합병원은 4,500만 원을 주고 랜섬웨어로 암호화된 환자 진료정보를 복구했고, B의원의 경우 3,300만원을 주고 복구업체를 통해 해커와 협상 후 상황을 종결지었다. 그 밖에도 복구비용으로 미화 1,500달러를 준 의료기관부터, 비트코인으로 복구 비용을 지불한 병원까지 있었다는 것이다.
김 의원은 이같이 의료기관이 지속적으로 랜섬웨어, 해킹, 디도스와 같은 사이버 침해사고를 당하는 이유로 의료기관들이 의료정보보호센터 보안관제 서비스에 가입하지 않고 있기 때문이라고 말한다.
현재 보건복지부 산하 한국사회보장정보원은 ‘의료법’ 제23조의4(진료 정보침해사고의 예방 및 대응)에 근거해 국내 의료기관들을 대상으로 사이버 침해사고를 예방하는 보안관제 서비스 업무를 맡고 있고 상급종합병원 중 국립대학병원들은 교육부에서 운영하는 보안관제 서비스에 별도로 가입하고 있다.
그러나 상급종합병원 45곳 가운데 해당 서비스들에 가입한 의료기관은 15곳이 전부고 대학병원 중 교육부에서 운영하는 보안 서비스에 가입한 12개 의료기관을 제외하고 나머지 18곳(40%)의 상급종합병원은 사이버 침해사고 위험에 그대로 노출돼 있다는 것이다.
또한 전국 267개 종합병원 중 해당 보안관제 서비스에 가입한 의료기관은 고작 19개(7.1%)에 불과하다고 김 의원은 꼬집었다.
김 의원은 “일반 병원이나 의원급보다 상대적으로 규모가 큰 상급종합병원이나 종합병원에서조차 해당 보안 서비스를 가입하지 않은 이유는 서비스 가입이 법적으로 의무화되지 않았기 때문”이라며 “연간 지불해야 하는 서비스관리 연회비에 부담을 느끼기 때문이다”고 설명했다.
게다가 보안 서비스를 가입할 경우 관련 전산인력도 충원해야 하기 때문에 관련 서비스를 가입하지 않고 있는 것도 문제라는 것이다.
김 의원은 “의료법상 사이버 침해사고 예방 서비스 가입이 의무화되지 않았다는 이유로 상급병원이나 종합병원들이 보안관제 서비스 가입에 소홀한 실정”이라며 “관련 법 개정을 통해 일정 수준 이상의 병원들의 보안관제 서비스 가입 의무화 및 이를 소홀히 한 병원들에 대한 과태료 상향을 추진하겠다”고 강조했다.
이어서 김 의원은 “보건복지부와 한국사회보장정보원은 하루속히 피해 의료기관들 가운데 환자 개인정보 유출 여부에 대해 전수조사를 해야 한다”면서 “상급종합병원과 종합병원이 한국사회보장정보원 사이버 침해사고 예방 서비스에 의무 가입하도록 ‘의료법’ 개정안을 준비하고 있다”고 덧붙였다.
