의료기관에 대한 사이버공격 빈도가 점차 증가하는 가운데 규모가 작을수록 공격에 더 취약한 것으로 나타났다. 이는 소규모 의료기관의 경우 전문인력과 투자 비용, 결정권자의 인식 부족이 주요인으로 분석돼 체계적인 대안 마련을 위한 민관 협력 강화 필요성이 제기됐다.

병원정보보안협회(회장 박종환·삼성서울병원 정보보호담당 상무)는 5월 9일 연세대학교 에비슨의생명연구센터 1층 유일한홀에서 ‘급변하는 보안 위협에 대응하기 위한 병원의 새로운 전략’을 주제로 춘계 학술세미나(HIS-CON 2024)를 개최했다.

이번 세미나에서는 다양한 세션을 통해 중소병원부터 대형병원까지 전 의료기관에 걸친 보안 이슈와 사례를 공유함으로써 병원의 보안수준 향상을 도모하고 정보보안의 최신 동향 및 기술을 심도 깊게 다뤘다.

또 의료기관이 직면한 보안 이슈에 대한 개인정보보호위원회, 한국인터넷진흥원, 한국사회보장정보원 등 국책기관의 전문가 강연과 의료기관에 종사하는 보안 전문가 및 화이트해커 강연, 보안 업계 최신 트렌드까지 다채롭게 구성해 정보 보안 전문가, 의료IT 전문가, 그리고 관련 분야 종사자들에게 유익한 정보와 네트워킹의 기회를 제공했다.

병원정보보안협회 박종환 회장은 인사말을 통해 “이번 세미나가 병원 정보 보안의 중요성을 널리 알리고, 업계 전문가들과의 교류를 통해 보다 안전한 의료환경을 조성하는 데 기여할 것으로 기대한다”고 밝혔다.

이날 의료기관 침해사고 사례 및 정보보안 강화 지원서비스를 소개한 보건복지부 산하 의료정보보호센터 이성훈 센터장은 자체 집계 결과 의료기관 침해사고 신고가 2020년 13건에서 2021년 21건, 2022년 23건, 2023년 23건 등으로 꾸준한 증가 추세를 보였다고 밝혔다.

병원 규모별로는 상급종합병원이 5%, 종합병원 16%, 병원 30%, 의원 49%로 규모가 작을수록 더 취약했다.

의료기관 침해사고 사례를 분석한 결과 외부 개방 RDP PORT를 이용해 의료정보시스템에 원격으로 접근하는 경우 방화벽 정책 내 원격 유지보수를 위한 포트(3389)를 오픈하는 형태가 대부분이었던 것으로 나타났다. 공격자는 관리자 계정을 획득한 후 악성파일 설치 및 랜섬웨어 실행을 수행한 것으로 드러났다. 이성훈 센터장은 △방화벽 정책 설정 변경 권고 △패스워드 관리 강화 △OS 및 SW 패치와 업데이트 △백신 프로그램 설치 사용 권고 △감염 서버 재사용 금지 권고(재사용시 포맷) △시스템 백업체계 재구축 권고 등의 대안을 제시했다.

또 VPN 인증 우회 취약점(CVE-2018-13382 등)을 악용해 내부 시스템 접속 권한(VPN test 계정)을 탈취하는 경우는 공격자가 내부 시스템에 원격 접속 후 악성파일을 활용해 권한 상승 및 랜섬웨어 감염, 추가 내부 시스템 정보를 획득한 후 측면 이동 및 2차 공격을 수행하는 것으로 나타났다. 이를 방지하기 위해 이성훈 센터장은 △불필요한 VPN Test 계정 삭제 권고 △보안장지 OS 업데이트 및 주기적 관리 권고 △보안장비 미사용 정책 주기적 검토 권고 △서버 및 사용자 접근 제어 정책 설정 권고 △서비스 만료된 OS 업그레이드 권고 등을 제안했다.

이와 함께 병원 대표 이메일로 수신된 이력서를 확인하기 위해 첨부된 압축파일 다운로드 및 열람 과정에서 랜섬웨어 및 감염되는 사례의 경우 공격자가 병원 구직정보를 외부 기관에서 확인하고 병원 대표 이메일로 악성파일(zip)이 첨부된 이메일을 발송, 인사담당자의 보안 인식 부재로 악성 파일 실행 및 감염된다고 설명했다. 이 경우에는 △직원 대상 정보보호 교육 권고 △서비스 만료된 OS 사용 제한 권고 △OS 및 SW 패치와 업데이트 △시스템 중요 파일 백업 권고 등의 솔루션을 제시했다.

이성훈 센터장에 따르면 정보통신서비스 침해사고 신고는 2021년 640건에서 2022년 1,142건, 2023년 1,277건으로 꾸준히 증가하고 있다. 침해 유형으로는 랜섬웨어가 94%로 대부분을 차지했고, 이어 악성코드 감염 4%, 계정탈취와 DDoS 공격이 각각 1%였다.

의료정보보호센터는 의료기관 지원 법·제도 기반 마련을 위해 △정보보안 지원을 위한 의료법 개정 △전자의무기록 안전성 확보를 위한 고시 제정을 추진하고, 의료기관 참여 확대 지원 강화를 위해 △초기 보안관제 장비 투자를 위한 예산 지원 △정보보안 관리 수준 향상 기관 회원비 감면 등 인센티브 제공 등의 지원 전략을 추진 중이라고 밝혔다.

이와 함께 의료기관 자체 역량 강화를 위해 △의료기관 자체 정보보안 기준 마련 △전담조직 및 전문인력 양성을, 전문성을 강화한 조직체계 정비를 위해 △취약점 점검 및 관리 수준 진단 전담인력 증원 △보안관제 운영 인력 증원을 통해 의료기관의 정보보안 수준을 높여나갈 계획이라고 강조했다.

이성훈 센터장은 “의료기관의 경우 전문인력과 투자 비용, 결정권자의 인식 부족이 보안 침해사고의 주요인으로 분석된다”며 “한국사회보장정보원은 공공과 민간의 상호 조화를 통한 사이버보안 대응 체계 발전을 위해 더욱 노력하겠다”고 말했다.

한편 이날 행사는 박종환 회장의 인사말에 이어 세션1에서 황연수 학술분과장이 좌장을 맡은 가운데 △중소형 병원의 정보보안, 이것부터 이런 순서로(삼성서울병원 장민수 파트장) △엔드포인트 보안 통합 및 연계를 바탕으로 한 보안성 강화 방안(투씨에스지 윤주영 팀장) △EDR을 활용한 랜섬웨어 근본 원인 분석(지니언스 백은광 전임) △실 사례로 살펴보는 XDR 기반 위협 자동대응 사례(쿼리시스템즈 윤동한 상무) △의료기관 침해사고 사례 및 정보보안 강화 지원서비스 소개(사회보장정보원 의료정보보호센터 이성훈 센터장)가 발표됐다.

세션2에서는 이지태 심사분과장이 좌장을 맡고 △디지털헬스케어 의료기기 보안 강화 지원 방안 소개(한국인터넷진흥원 김기수 연구원) △의료기관 환경과 제로트러스트 구현의 시작(고대의료원 강병익 차장) △ZTNA 전환을 위한 SDP 구성(ML소프트 안교찬 이사) △기기 취약점 분석 방법 및 공격 시나리오(화이트해커 신동휘 CTO) △의료기관을 위한 정보시스템 하드닝 전략(이신아이 남보현 이사) 발표가 진행됐다.

세션3에서는 김진응 사무총장이 좌장을 맡아 △외부에 노출된 의료업계의 위협 인텔리전스와 공격표면관리(AI스페라 강병탁 대표) △병원을 위한 SBC 방식의 VDI 환경 제안(틸론 이도원 PD) △의료기관의 개인정보보호(개인정보보호위원회 윤여진 과장) △와이파이 진화에 따른 무선 보안(루커스네트웍스 여태진 이사) △개정 보건의료데이터 활용 가이드라인 이것만 알고가기(국립암센터 이재동 책임) 발표가 이어졌다.