국내 최대 의료기관 개인정보보호 및 정보보안 컨퍼런스 MPIS 2020이 7월 30일 서울 역삼동 한국과학기술회관 지하1층 대회의실과 로비에서 국공립, 대학, 일반병원 정보보안 실무자들이 대거 참석한 가운데 철저한 방역수칙 하에 성황리 개최됐다.
이번 MPIS 2020에서 보건복지부 정보화담당관실 김종덕 사무관은 ‘진료정보 침해사고 예방 및 대응’을 주제로 강연을 진행했다.
김종덕 사무관은 “보건의료정보화의 흐름은 개별 병원 내부 정보화에서 의료정보의 교류와 연계를 활용한 환자중심 서비스로 이동하고 있다. 이 과정에서 중요한 부분이 바로 보안이다”라며 “상급종합병원 평균 직원은 2천479명이며 그 중 보안 전담인력은 1.03명에 그치고 있다. 종합병원 평균 보안 전담인력은 0.6명, 겸직인력은 2.1명 수준이다. 상급종합병원 보안예산은 연평균 7억2천만원 정도에 머물고 있다. 대부분 보안장비와 보안SW 구매, 유지보수 비용이다. 또 의료 ISAC 회원은 20개 상급종합병원”이라고 설명했다.
이어 “의료기관들은 ISMS 인증, 주요정보통신기반시설 실태평가, 개인정보보호 현장 점검 등 정보보안 관리에 많은 노력을 기울이고 있지만 현실은 법적 의무 사항 준수와 보안장비 구축에 국한돼 있다”고 지적했다.
◇의료기관 정보보안 및 침해사고 현황
올해 국내 업종별 침해사고 발생 비율을 보면, IT기업 다음으로 의료기관이 가장 많은 침해사고를 당한 것으로 조사됐다. 또 지난해 해킹사고 유형별 비율을 보면, 국내 개인정보유출건수가 5천만건으로 가장 많았고 그 다음으로 랜섬웨어, 암호화폐 채굴, 내부자료유출 등의 순으로 조사됐다.(SK인포섹 자료)
의료기관 침해사고 현황을 보면, 웹해킹이 53%로 가장 많았고 다음으로 서비스거부, 정보수집, 비인가접근, 악성코드 감염 등의 순으로 조사됐다. 침해사고 인지시간은 글로벌 평균이 5개월인 반면, 한국은 34개월로 조사됐다. 34개월 동안 침해사고가 발생했는지 조차 모르고 있다 상황이라 심각한 수준이다.
국내 의료기관 침해사고 감염사례도 들었다. 공격자가 병원 내부 개발용 PC에 원격접속해 PACS DB서버, PACS WAS 서버, OCS/EMR 서버 등의 계정을 탈취해 랜섬웨어를 감염시키고 파일을 암호화해 랜섬머니를 요구했던 사례다. 또 워너크라이 랜섬웨어 공격을 받은 국내 대학병원 사례, 백신 취약점을 이용해 중앙 서버 및 관리자 PC를 해킹해 내부 시스템을 장악한 북한발 해킹 사고, 병원 의료정보 소프트웨어 개발 업체가 소프트웨어 업데이트 과정을 이용해 파일을 수집하는 모듈을 삽입해 환자정보 7억건을 유출한 용역업체 환자정보 유출 사례 등 의료기관 침해사고 사례도 계속 증가하고 있다.
이런 상황이라, 정부는 의료기관에 대해 침해사고 예방 및 복구대책 수립 및 이행 등 접근통제 안정성 확보 규정을 개인정보보호법에 적용했고 진료기록전송지원시스템의 보안체계 마련에 대한 이행을 의료법 시행령에 담았다. 또 매출 1천500억 이상 상급종합병원은 ISMS 인증을 의무화했고 운영보안, 침해사고 관리 영역에 대한 개별 항목별 기준 준수를 요구하고 있다.
◇보건복지부, 의료기관 사이버안전 강화 추진
보건복지부는 의료기관 사이버안전 체계 마련을 위해 2009년 사이버안전센터 개소를 시작으로 2018년 의료ISAC도 개소했다. 2020년에는 의료법에 의거, 진료정보침해대응센터를 개소했다.
의료ISAC은 의료기관 해킹이나 악성코드 등 사이버위협에 효과적으로 대응하기 위한 공동 대응체계를 말한다. 사이버위협정보를 수집하고 위협정보 분석 및 가공, 회원사 및 관련 기관 간 정보공유를 목적으로 한다.
김종덕 사무관은 “의료ISAC은 의료기관 단독 침해대응이 어렵고 보안관리 능력 및 전문인력 부족, 보안솔루션 중심의 보안대책의 한계, 상시 보안관제 체계 마련이 시급해 의료기관 사이버안전 강화를 위해 꼭 필요한 조직이다”라며 “의료ISAC은 의료기관 24시간 보안관제를 추진하고 있다. 사이버공격에 대한 정보수집, 위협탐지, 정보분석, 침해대응 전 단계를 지원한다.
또 의료법 개정으로 보건복지부가 의료기관의 진료정보 침해사고에 대해 조사 및 예방활동을 수행하는 일환으로 사회보장정보원에 ‘진료정보침해대응센터(KHCERT)’를 개설해 365/24 사고접수와 초동 조치/대응을 하고 사고조사 및 원인분석, 재발방지 및 복구지원 그리고 사고예방을 위한 취약점 점검, 교육, 훈련을 지원할 예정이다. 이런 정보들은 의료ISAC에도 전달하고 한국인터넷진흥원과 공조하게 된다.
보다 상세한 내용은 발표자료를 참조하면 된다. 김종덕 사무관의 MPIS 2020 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★