최근 3년 반 사이 전국 74개의 의료기관에서 해킹 등 사이버공격을 받은 것으로 드러났다. 특히 일반병원급·의원급 등 상대적으로 규모가 작은 의료기관에서 사이버공격을 받은 빈도가 높은 것으로 나타났다.

14일 국회 보건복지위원회 소속 김영주 국회부의장(더불어민주당·서울 영등포갑)이 보건복지부, 한국사회보장정보원, 한국인터넷진흥원, 교육부로부터 받은 자료에 따르면, 지난 2020년부터 올해 7월까지 상급병원급 4건, 종합병원급 13건, 일반병원급 22건, 의원급에서 35건에 달하는 사이버 침해사고가 발생했다.

침해사고 발생건수 역시 지난 2020년엔 13건이었지만 2021년 21건, 2022년 23건에 달할 정도로 꾸준히 증가하고 있고 올해도 7월 기준으로 17건의 사이버 침해사고가 발생했다.

지역별론 서울 지역이 26건으로 가장 많았고 이어 경기 지역 12건, 광주 지역과 경남 지역에서 각 6건, 부산 지역에서 5건인 것으로 드러났다.

한편 랜섬웨어, 해킹, 디도스 공격 등을 당한 대다수 의료기관은 금전적 피해를 함께 본 것으로 드러났다. 악성코드를 심은 뒤 금전을 요구하는 랜섬웨어 공격이 68건에 달했다.

A종합병원은 4500만원을 주고 랜섬웨어로 암호화된 환자 진료정보를 복구했고, B의원은 3300만원을 내고 복구업체를 통해 해커와 협상한 뒤 상황을 정리한 것으로 드러났다. 심지어 한 병원은 복구 비용으로 비트코인을 지불한 것으로 파악됐다.

보건복지부 산하 한국사회보장정보원은 국내 의료기관들을 대상으로 사이버 침해사고를 막기 위한 보안관제 서비스를 운영하고 있다. 하하지만 국내 상급병원 45개 중 해당 서비스들에 가입한 의료기관은 15개에 불과한 것으로 드러났다.

대학병원 중 교육부에서 운영하는 보안 서비스에 가입한 12개 의료기관을 제외하고 나머지 18개 상급병원은 사이버 침해사고 위험에 그대로 노출돼 있단 의미다. 또한 전국 267개 종합병원 중 해당 보안관제 서비스에 가입한 의료기관은 고작 19곳로 7.1%에 불과했다. 

상대적으로 영세한 규모의 의료기관이 사이버 침해사고를 당할 위험이 높지만 상급병원이나 종합병원처럼 규모가 큰 병원도 환자들의 개인정보가 수십만 건 유출될 수 있어 의료기관 보안관제 서비스 가입을 의무화해야 한단 목소리가 높은 상황이다.

김영주 부의장은 국내 상급병원과 종합병원이 한국사회보장정보원의 사이버 침해사고 예방 서비스에 의무적으로 가입하도록 하는 '의료법' 개정안을 준비하고 있다. 

김 부의장은 "의료법상 사이버 침해사고 예방 서비스 가입이 의무가 아니란 이유로 상급병원이나 종합병원들이 보안관제 서비스 가입에 소홀한 실정"이라며 "관련법 개정을 통해 일정 수준 이상의 병원들의 보안관제 서비스 가입을 의무화하고 이를 소홀히 한 병원들에 대한 과태료 상향을 추진하겠다"고 밝혔다.

이어 "보건복지부와 한국사회보장정보원은 하루속히 피해 의료기관들 중 환자개인정보 유출 여부에 대해서 전수조사해야 한다"고 촉구했다. 

[신아일보] 진현우 기자

진현우 기자 다른기사 보기