한편, 과거 군사기밀 등 주요정보탈취, 국가기반시설에 집중되었던 사이버 공격은 최근 랜섬웨어 등을 통한 금전 탈취로 그 목적을 선회하고 있다. 최근 3년간 비트코인 거래소에 대한 7차례에 걸친 잇따른 해킹은 천억 원이 넘는 막대한 피해를 내며 막연한 불안을 수면위로 끌어올렸다. 의료정보는 암시장에서 가치가 높아 해커들의 주요 타겟이 되고 있다는 보고가 줄을 잇고 있어 의료분야는 긴장의 끈을 놓을 수 없는 상황이다.
’16년도부터 매출액 1500억원 이상의 상급종합병원의 정보보호관리체계(ISMS) 인증을 의무화하고, 일부 상급종합병원은 주요정보통신기반시설로 지정하여 보안 관리를 강화하는 것도 이러한 흐름과 맥락을 같이 한다. 최근 해킹에 대한 사회적 우려와 관련 제도의 변화로 인해 대형병원들을 중심으로 한 의료계는 보안에 대한 투자를 지속적으로 늘려왔다. 정보보호최고책임자(CISO)와 전담 인력을 새롭게 지정하고 관리조직 및 보고체계를 확립되었으며, 정보보안 솔루션, 장비 도입과 망 분리를 위해 수억에서 수십억 원대의 정보보안 예산이 투입되기도 하였다.그럼에도 불구하고 랜섬웨어, 정보유출 등에 대한 불안은 여전한 것 같다. 전문가들도 정보보안에 대한 투자가 여전히 부족하다고 말한다. 이토록 정보보안이 어려운 이유는 무엇일까? 정보보안에 대한 투자는 어떻게 어디까지 해야 할까?
정보보안이 어려운 이유 중에 하나는 살아있는 사람을, 그것도 상당히 뛰어난 전문가를 상대해야 한다는 점일 것이다. 우리의 공격자는 단순한 몇 가지 패턴을 가진 프로그램이 아니다. 그들은 끈기 있는 공격 시도를 통해 대상을 관찰하고, 분석하며 마침내 약점을 찾아내고야 만다. 심지어 최근에는 인공지능을 활용한 공격 기술마저 선보이고 있다. 이러한 공격들은 잘 갖추어진 보안 장비, 솔루션만으로는 막을 수 없다.이처럼 진화하는 공격자와 대응하기 위해서는 방어하는 입장에서도 똑같이 전문가를 투입해야 한다. 새로운 공격 정보에 대해 방어체계에 어딘가 구멍은 없는지, 중요한 정보는 잘 분리되어 안전하게 보관되고 있는지 끊임없이 점검하고 보완해주어야 한다. 방어체계의 마지막은 사람이기에 필요한 권한을 가지고 이들에 대한 교육 및 감시역할도 수행해야 한다. 또한 기관의 네트워크에 대한 접근 현황도 누군가 주의 깊게 관리해야 한다. 이는 출입구 스피드 게이트에도 경비 인력을 두고, CCTV를 설치하고 모니터링 인력을 두는 것과 같다. 보안 장비의 접속기록을 분석하고 위협과 공격을 식별하는 데만도 상당한 전문성과 노력이 요구된다.
그러나 대부분의 의료기관은 한계에 부딪힌다. 2017년 3월, 정보보안에 관한 설문조사에서 상급 종합병원의 정보보안 관련 애로사항을 살펴보면 전문성 부족이 35.5%로 최우선으로 나타났으며, 보안의식 미비가 25.8%, 예산 등 제반 여건이 19.4% 그 뒤를 이었다. 그렇다고 기관별로 전문 해커 수준의 인력을 갖추기에는 부담도 크고, 인적 자원 활용 측면에서도 어려운 점이 많다.
정보보안에 대한 투자는 끝이 보이지 않는 것 같다. “어떠한 공격도 절대로 허용하지 않는” 정보보안을 구현하기란 막대한 비용을 지출하고도 극히 어려운 일이다. 눈에 보이지 않는 기나긴 사이버 전쟁에서 우리는 투자대비 효율이 높은 방어체계를 구축하는데 초점을 맞춰야 한다. 즉, 공격자는 높은 비용을 지불하도록 강요하는 한편, 침해사고 시 피해 범위나 확산은 최소화하는 것이다.
정부의 역할도 중요하다. 부족한 전문성과 인프라에 대한 직접 지원도 필요하지만 가이드라인 배포 등 의료기관이 기본적인 대응역량을 갖출 수 있도록 해야 한다. 또한 의료기관에서 구입 또는 구축하여 사용하는 전자의무기록시스템(EMR), 의료기기 등의 인증 제도를 통해 안전성을 검증·평가할 수 있도록 한다.보건복지부는 지난 11월 2일 의료기관에 대한 정보보안 업무를 지원하는 의료기관 공동보안관제센터(의료 ISAC, Information Sharing and Analysis Center)를 개소하였다. 센터는 보안 전문인력 및 인프라 지원을 통해 정보보안에 대한 의료기관의 부담은 줄이고, 사이버침해를 효과적으로 예방하는 것을 목적으로 한다.
의료 ISAC에서는 보안관제, 침해대응, 정보공유, 교육훈련 등의 서비스를 제공한다. 인프라 측면에서는 개별 의료기관이 구축하기 어려운 보안관제시스템 및 상황실을 구축하고 365일·24시간 상시 보안관제를 제공한다. 이를 통해 의료기관에 대한 사이버 공격을 실시간으로 탐지, 대응할 수 있도록 지원한다.나아가 여러 의료기관에서 수집한 공격 정보를 분석하고, 유관기관에 전파하여 예방하는 사이버 침해 공동대응체계의 구심점 역할을 수행한다. 한국인터넷진흥원(KISA) 등 국내·외 유관기관의 사이버 위협정보도 함께 수집·공유된다. 또한 센터는 보안전문 인력을 갖추고 침해사고 시 긴급대응 및 보안교육을 지원한다. 이를 통해 의료기관은 필요시에만 부족한 자체 전문성을 보완할 수 있다.
향후에는 의료기관의 정보보안 수요를 공동대응체계를 중심으로 반영해 나갈 수 있다. 예를 들어 고난이도의 보다 전문적인 정보보안 컨설팅 비용을 공동으로 부담하여 의료기관의 보안 취약점 점검을 수행하고 침해사고를 근본적으로 예방할 수 있다.우선 서비스 대상은 「정보통신기반보호법」에 따른 주요정보통신기반시설, 그리고 상급종합병원이다. 상대적으로 인지도가 높고 규모가 큰 기관을 중심으로 정보수집 및 공유체계를 구축하여 국내 의료기관에 대한 공격 동향을 파악한다. 향후 종합병원 급으로 서비스를 확대하여 공동대응체계를 더욱 강화해나갈 계획이다.
해킹에 관한 인식 중의 하나는, 해킹 사고는 물론이고 공격 시도조차 감추어야 한다는 것이다. 이러한 인식은 정보의 단절을 가져오고, 공격자의 존재 자체를 은폐시켜 결국 기관의 대응을 더욱 어렵게 한다. 유명 보안 전문업체인 Fireeye에 따르면 해킹 피해를 당하고 이를 인지하기까지 걸리는 시간은 ’18년 평균 101일이며, 실제 공격자가 일부러 알려주기 전까지는 인지하지 못하는 경우가 대부분이다.의료기관의 정보보안 수준 향상은 정보시스템에 영향을 미치며, 나아가 의료서비스의 질을 향상시키고 결국 환자 유치로 이어진다. 가능한 범위 내에서 공격자의 정보를 공개·공유하는 한편, 기술적 지원을 통해 전문성을 보완하여 사이버 공격에 적극적으로 대응할 필요가 있다.
지난 2015년 4월 과기정통부에서 발표한 「K-ICT 시큐리티 발전전략」을 보면 흥미로운 발상의 전환이 나온다. 해킹 인지 시 해킹을 발견한 담당자를 처벌하는 대신 오히려 포상함으로서 공격의 조기에 탐지하고 공유하여 피해 확산을 방지하겠다는 것이다. 이러한 방향성의 변화는 주목할 만하다. 공격을 조 보건복지부 정보보안 담당사무관기에 인지한다는 것은 대단한 투자와 노력이 들어가는 일이고 이를 통해 얻은 정보를 공유함으로써 정보보안에 기여하는 것은 인정받아야 함이 마땅하다.
개인이 아닌 기관도 마찬가지다. ISMS 인증 및 유지를 위한 투자, 의료 ISAC 참여 등 정보보호체계를 구축하고, 이를 통해 탐지된 공격 정보를 인지한 즉시 용기 있게 공개·공유하는 것은 공동대응체계 구축에 상당히 기여하는 일이다. 민간 의료기관의 적극적인 참여로 “의료 ISAC”을 중심으로 한 사이버 보안 공동대응체계가 성공적으로 안착되고 의료기관 정보보안 향상에 기여하기를 기대해본다.
