[전자신문] ‘SKT 해킹 나비효과’, 대형병원 보안 강화 분주…공동관제 가입↑

SK텔레콤 유심 해킹사고 발생 후 대형병원들도 보안관제 서비스 가입 등 보안 강화를 서두르고 있다. 그동안 정보보안 취약지로 지목되던 의료기관이 경각심을 갖고 있다는 점에선 긍정적이지만, 사고 후 대응이 아닌 선제 투자가 필요하다는 지적이 나온다.

8일 정부기관에 따르면 최근 상급종합병원인 한림대성심병원과 원광대병원이 의료기관공동보안관제센터(의료ISAC)에 가입했다. 다른 종합병원 3곳도 가입 절차를 밟고 있어 총 5개 기관이 정부가 운영하는 공동 보안관제 서비스를 추가로 받을 예정이다.

사회보장정보원이 운영하는 의료ISAC은 종합병원급 이상 의료기관을 대상으로 정보 시스템 취약점 탐지, 위협대응 서비스 등을 제공한다. 국내 의료기관 대부분이 정보보호 수준이 취약한 것을 고려, 정부가 자체 인프라 구축 없이 합리적인 비용으로 보안관제 서비스를 지원한다.

정부가 해마다 적극적인 가입을 유도하고 있지만 전체 가입 대상 의료기관 중 단 10%만 이용하고 있다. 이마저도 2023년 전년 대비 10곳 늘었던 것을 제외하면 매해 가입기관 수는 정체된 상황이다. 자체 운영보다는 저렴하지만 연간 300만~1800만원의 비용 부담이 있고, 무엇보다 정보보안에 대한 인식이 부족한 게 가장 큰 걸림돌이다.

꿈쩍도 안하던 병원이 움직이기 시작한 것은 지난 4월 터진 SKT 고객정보 유출 사고 이후부터다. 국내에서 역대 최악의 해킹사고로 꼽히는 이번 사태로 약 2700만건에 달하는 전체 고객 유심 정보가 외부로 유출됐다. 이 사건 이후 사실상 전 산업 영역에서 정보보안 수준 진단이 진행되는 등 파장이 컸다.

병원은 개인정보뿐 아니라 민감한 의료, 금융정보까지 보유한 만큼 SKT와 같은 해킹사고 발생 시 피해가 더 크다. 국회 보건복지위원회 전진숙 의원에 따르면 2020년 이후 총 91건의 의료기관 진료정보 침해사고가 발생한 것으로 나타났다. 의료 데이터를 노린 해킹 시도는 갈수록 늘지만 대형병원을 제외하고 정보보호 전담 조직을 보유한 곳은 손에 꼽을 정도다.

자체 조직이나 인프라 투자 여력이 부족한 병원 입장에서 가장 먼저 고려할 수 있는 선택지가 의료ISAC인 만큼 최근 관심이 급증하고 있다. 많아야 1년에 2~3개 기관이 가입하던 것에서 현재 5개 병원이 가입했거나 할 예정이다. 추가로 올해 말까지 10개 이상의 대형병원이 새로 합류할 것으로 예상된다.

한 대학병원 관계자는 “병원내 정보보안은 특정 사고나 정부 지침 강화 없이 자율적으로 투자를 확대하는 것이 어려웠다”면서 “SKT 해킹사고가 계기가 됐지만 의료 데이터를 활용한 진료나 연구가 확대되는 만큼 정보보안 투자도 조금씩 늘고 있다”고 말했다.

가장 민감한 데이터를 다루는 만큼 병원의 정보보안 수준 강화를 위해선 자율적인 인식제고와 함께 투자 확대 유인책 마련이 필요하다는 지적도 제기된다. 의료ISAC과 같은 공동 보안관제 서비스가 가장 기본적인 안전장치임에도 권고 사항에 그치는데다 유인책이나 인센티브가 전무하다.

이성훈 사회보장정보원 의료정보센터장은 “현재 지속적으로 서비스 홍보를 강화하고 있으며 필수 가입기관에 대한 법제화 검토도 진행 중”이라며 “내부적으로 의료ISAC 가입 기관에 대한 상급종합병원 평가, EMR 인증 과정에 도움을 줄 수 있는 방안도 찾고 있다”고 말했다.

정용철 기자 jungyc@etnews.com