환자의 민감한 진료 기록과 의료 데이터가 사이버 범죄 조직의 표적이 되고 있으나 국내 의료기관 방어 체계는 예산과 인력 부족이라는 구조적 문제에 노출된 것으로 나타났다. 특히 정보보안 예산을 전혀 편성하지 않은 병원이 전체 약 17%에 달해 보안 사각지대 해소가 시급하다는 지적이다.
13일 한국보건사회연구원이 최근 발표한 '의료기관 사이버 보안 개선을 위한 정책 방안 연구' 보고서에 따르면 상급종합병원(41곳)과 종합병원(222곳) 등 263개 기관 중 16.7%(44곳)가 지난해 정보보안 관련 예산을 전혀 책정하지 않았다. 정보보안 예산은 데이터 기밀성, 무결성, 가용성을 유지하기 위한 시스템 구축과 유지보수에 투입되는 재원을 의미한다.
예산 규모를 살펴보면 병원 규모에 따른 양극화가 뚜렷했다. 상급종합병원 평균 정보보안 예산은 8억2260만 원이었으나 종합병원은 그 14분의 1 수준인 5870만 원에 그쳐 투자 격차가 매우 큰 것으로 분석됐다. 인력 부족 현상 역시 심각했다. 조사 대상 병원 정보보안 담당 인력은 기관당 평균 0.9명으로 1명에도 미치지 못했으며 응답 기관 79.1%가 전문 인력 부족을 호소했다.
보안 인프라 부재는 실제 피해로 이어지고 있다. 최근 3년 내 사이버 사고를 겪은 병원은 전체 6.5%(17곳)로 확인됐다. 주요 사고 원인(복수 선택)은 외부 사이버 공격(16건), 시스템 노후화 등 기술적 취약점(13건), 관리적 취약점(10건) 순이었다. 특히 한 종합병원은 랜섬웨어 공격으로 20테라바이트(TB) 규모 환자 영상 데이터가 암호화돼 일부가 영구 손실됐고 한 의원급 의료기관은 해커에게 가상화폐를 지불한 뒤 기록을 복구했다.
사고 발생 시 관계 기관에 신고하는 비율이 낮은 점도 문제다. 병원들은 신고에 따른 법적 부담(43.4%)과 평판 손상으로 인한 환자 감소 등 경제적 타격(40.2%)을 우려해 피해 사실을 숨기는 것으로 분석됐다. 해킹 시도를 24시간 감시하는 시스템을 운영하는 곳은 전체 57.0%에 불과했다.
의료기관들은 보안 업무 어려움을 해결하기 위해 가장 필요한 정부 지원으로 ‘예산 확대를 통한 인력 고용과 재정 지원’을 꼽았다. 보고서는 의료기관 사이버 보안이 병원 내부 기술적 문제를 넘어 국민 생명과 직결된 국가적 과제임을 강조하며 중소 규모 병원을 위한 보안 시스템 지원과 신고율 제고를 위한 법적 보호 장치 마련을 제언했다.
이러한 가운데 제도적 보완을 위한 입법도 추진 중이다. 지난 7일 더불어민주당 소병훈 의원이 대표 발의한 ‘의료법 일부개정법률안’은 병원급 의료기관 인증 신청을 의무화하고 인증 기준에 ‘진료정보 보호 및 정보보안 관리체계 적정성’을 포함하는 내용을 담고 있다. 개정안은 자율에 맡겨졌던 보안 관리를 제도화해 의료 질 관리와 개인정보 보호 기반을 강화하는 것을 골자로 한다.
소병훈 의원은 “의료기관 진료정보는 국민 생명과 직결된 민감정보임에도 인증제도가 자율에 맡겨져 관리에 한계가 있었다”며 “개정안을 통해 의료서비스 질을 높이고 개인정보 보호 기반을 강화하겠다”고 말했다.
13일 한국보건사회연구원이 최근 발표한 '의료기관 사이버 보안 개선을 위한 정책 방안 연구' 보고서에 따르면 상급종합병원(41곳)과 종합병원(222곳) 등 263개 기관 중 16.7%(44곳)가 지난해 정보보안 관련 예산을 전혀 책정하지 않았다. 정보보안 예산은 데이터 기밀성, 무결성, 가용성을 유지하기 위한 시스템 구축과 유지보수에 투입되는 재원을 의미한다.
예산 규모를 살펴보면 병원 규모에 따른 양극화가 뚜렷했다. 상급종합병원 평균 정보보안 예산은 8억2260만 원이었으나 종합병원은 그 14분의 1 수준인 5870만 원에 그쳐 투자 격차가 매우 큰 것으로 분석됐다. 인력 부족 현상 역시 심각했다. 조사 대상 병원 정보보안 담당 인력은 기관당 평균 0.9명으로 1명에도 미치지 못했으며 응답 기관 79.1%가 전문 인력 부족을 호소했다.
보안 인프라 부재는 실제 피해로 이어지고 있다. 최근 3년 내 사이버 사고를 겪은 병원은 전체 6.5%(17곳)로 확인됐다. 주요 사고 원인(복수 선택)은 외부 사이버 공격(16건), 시스템 노후화 등 기술적 취약점(13건), 관리적 취약점(10건) 순이었다. 특히 한 종합병원은 랜섬웨어 공격으로 20테라바이트(TB) 규모 환자 영상 데이터가 암호화돼 일부가 영구 손실됐고 한 의원급 의료기관은 해커에게 가상화폐를 지불한 뒤 기록을 복구했다.
사고 발생 시 관계 기관에 신고하는 비율이 낮은 점도 문제다. 병원들은 신고에 따른 법적 부담(43.4%)과 평판 손상으로 인한 환자 감소 등 경제적 타격(40.2%)을 우려해 피해 사실을 숨기는 것으로 분석됐다. 해킹 시도를 24시간 감시하는 시스템을 운영하는 곳은 전체 57.0%에 불과했다.
의료기관들은 보안 업무 어려움을 해결하기 위해 가장 필요한 정부 지원으로 ‘예산 확대를 통한 인력 고용과 재정 지원’을 꼽았다. 보고서는 의료기관 사이버 보안이 병원 내부 기술적 문제를 넘어 국민 생명과 직결된 국가적 과제임을 강조하며 중소 규모 병원을 위한 보안 시스템 지원과 신고율 제고를 위한 법적 보호 장치 마련을 제언했다.
이러한 가운데 제도적 보완을 위한 입법도 추진 중이다. 지난 7일 더불어민주당 소병훈 의원이 대표 발의한 ‘의료법 일부개정법률안’은 병원급 의료기관 인증 신청을 의무화하고 인증 기준에 ‘진료정보 보호 및 정보보안 관리체계 적정성’을 포함하는 내용을 담고 있다. 개정안은 자율에 맡겨졌던 보안 관리를 제도화해 의료 질 관리와 개인정보 보호 기반을 강화하는 것을 골자로 한다.
소병훈 의원은 “의료기관 진료정보는 국민 생명과 직결된 민감정보임에도 인증제도가 자율에 맡겨져 관리에 한계가 있었다”며 “개정안을 통해 의료서비스 질을 높이고 개인정보 보호 기반을 강화하겠다”고 말했다.