의료기관의 정보 보안 사고 대응이 보건복지부로 일원화된다. 그동안 의료기관 설립 형태에 따라 분산된 대응 체계를 단일화, 민첩하고 효율적으로 대응한다. 폐쇄적인 데다 열악한 국내 병원의 보안 수준을 높이기 위한 전반적인 실태 조사와 지원 방안이 뒤따라야 할 것으로 보인다.
23일 정부기관에 따르면 보건복지부는 최근 의료법을 개정, 내년 2월 28일부터 의료기관 진료 정보 침해 사고 접수와 예방, 대응을 책임진다.
개정 의료법 제23조의 1에 따르면 의료인 또는 의료기관 개설자는 진료 정보 침해 사고 발생 시 복지부 장관에게 즉시 통보하도록 명시했다. 복지부 장관은 진료 정보 침해 사고 통지를 받거나 진료 정보 침해 사고가 발생한 사실을 알게 되면 이를 관계 행정기관에 통보해야 한다.
신고 접수뿐만 아니라 침해 대응, 예방 등 정보 보안 전반에 관한 업무도 모두 복지부로 이관된다. 개정 의료법 제23조의 4에 따르면 복지부 장관은 △진료 정보 침해 사고 정보 수집·전파 △진료 정보 침해 사고 예보·경보 △긴급 조치 △전자의무기록에 대한 전자적 침해 행위 탐지·분석 등을 수행한다. 적극적 의미의 정보 보안 활동을 맡기는 셈이다.
이번 조치는 이원화된 대응 체계를 일원화하고 전문성을 높이는 게 목적이다. 현재 진료 정보 침해 등 정보 보안 사고 대응은 의료기관 설립 형태에 따라 대학병원은 교육부, 민간 병원은 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 각각 맡고 있다. 두 기관도 의료기관의 정보 보안을 전담하기보다 포괄적 의미에서 신고 접수, 관계 기관 전파 등을 담당하고 있다. 이원화에 따른 비효율성, 전문성 부족 등이 꾸준히 지적됐다.
장항배 중앙대 산업보안학과 교수는 “최근 병원을 대상으로 랜섬웨어 공격 등 다양한 침해 시도가 이뤄지고 있지만 교육부와 KISA는 관할 영역 특성상 효율적인 대응이 어려웠다”면서 “의료기관 업무와 시스템 특성을 고려한 정보 보안 대응 체계가 필요한 상황에서 복지부로 일원화는 긍정적인 시도”라고 평가했다.
신고 접수와 대응, 예방 등을 총괄하는 조직으로는 의료기관 공동 보안관제센터(의료ISAC)가 맡을 가능성이 짙다. 지난해 11월 개소한 의료ISAC은 진료정보교류 사업 보안 관제와 주요 상급종합병원 보안 관제 서비스를 제공한다.
신제수 복지부 정보화담당관은 “내년 초부터 의료법 개정으로 의료기관 침해 사고 대응을 복지부가 주관하면서 현황 파악은 물론 신속한 대응을 지원할 계획”이라면서 “1차적으로 의료기관 중심 보안 관제를 강화하고, 의료ISAC 내 전담팀을 구성해 신고 접수 등을 담당할 예정”이라고 설명했다.
글로벌 보안 기업 징박스에 따르면 병원 네트워크 트래픽 가운데 75%는 감시되지 않고 있으며, 의료기기 95%는 보안 솔루션이 탑재되지 않고 있다. 국내 중소병원 상당수가 윈도XP 등 서비스가 종료된 운용체계(OS)를 사용하고 있는 데다 일부는 랜섬웨어에 감염돼 돈을 지불하고 복구한 것으로 알려졌다. 대형병원조차 정보기술(IT) 투자가 연매출 1%가 안 되는 상황에서 정보 보안 투자는 요원하다. 대응 체계 일원화와 함께 전반적인 실태 조사, 정보보안 정책 지원 등이 뒤따라야 한다.
권혁찬 한국전자통신연구원 책임연구원은 “국내 상급종합병원을 포함해 중소병원도 램섬웨어에 걸려 비트코인 등 금전을 지불하고 복구한 것으로 알려져 있다. 그러나 정부에 신고한 사례는 단 한 건도 없다”면서 “의료기관, 의료기기 등 정보 보안 가이드라인이 있지만 이번을 계기로 실질적인 정책 지원과 보안 투자가 뒤따를 필요가 있다”고 말했다.
정용철기자 jungyc@etnews.com, 정영일기자 jung01@etnews.com