권미혁 의원실 분석, “복지부 일선 의료시설에 30p 보안 관련 지침서만 배포하고 손 놓아”

일선 의료기관에 대한 복지부의 해킹 현황파악·관리감독이 허술하다는 지적이 제기됐다.

복지부가 해킹피해 담당은 한국인터넷진흥원이라는 이유로 일선 기관에 해킹관련 교육·피해의무보고 등의 조치를 취하지 않고 있다는 것이다.

권미혁 의원

국회 보건복지위원회 권미혁 의원(더불어민주당)은 지난 9일 한국인터넷진흥원의 자료를 토대로 `13년부터 최근 5년간 의원급 의료기관에 대한 해킹은 13건에 불과하지만 의료기관은 해킹피해 발생 시 복지부 및 한국인터넷진흥원에 보고해야 할 의무대상에서 제외돼 실제 해킹 피해는 이보다 훨씬 많을 것이다고 지적했다.

입법조사처 조사자료에 따르면 미국은 2015년을 기준으로 핵심 인프라 중 의료기관에 대한 공격이 전체 21%였으며 일별 1천건에 달하는 해킹 공격을 받고 있으며 2016년에는 그 건수가 4천건에 이르는 날도 있는 것으로 나타났다.

이에 미국 보건복지부는 랜섬웨어 등 해킹 예방 및 대처방안 홍보를 위해 Ransomware and HIPPA 지침서를 발간해 일선 병원에 배포했으며 랜섬웨어 공격 시 보건복지부에 반드시 보고하도록 지침을 개정해 악성소프트웨어 감지절차·예방·공격 후 회복절차 등에 대한 행동요령을 제시하고 있다.

13-`17.08 한국인터넷진흥원에 신고된 의료기관 해킹피해 현황

반면 보건복지부는 의료기관 해킹 감독을 담당하는 정보화담당관실은 복지부 산하 유관기관에 한정해 해킹 예방교육·관제를 실시하고 있을 뿐 일선 의료기관에는 30p 분량의 총론적인 정보보호 지침서만 하달한 것으로 드러났다.

즉, 미국은 랜섬웨어 관련 해킹에 대한 매뉴얼을 따로 배포해 일선 기관에서 대응이 가능하지만 한국은 정보보호 지침서만으로는 일선기관이 해킹에 대응하기 어려운 실정이라는 것.

또한 인터넷진흥원에 신고된 대부분의 의료기관이 의원급이고 실제 해킹위험에 상대적으로 노출돼있음에도 지침서가 상대적으로 부실하게 구성돼 있다.

복지부 정보화담당관실 해킹 관련 업무 현황

권미혁 의원은 “2015년 북한의 대학병원 전산망 장악·2016년 병원 개인정보를 해킹해 커플앱 계정에 침입한 사건 등 의료기관 해킹사례가 급증했음에도 복지부가 개인정보보호에 안일하게 대처하고 있다”며 “랜섬웨어 등 해킹 예방·대응 등에 대한 구체적 행동요령을 담은 지침서를 만들어 배포함과 동시에 해킹 시 복지부가 현황을 보고받고 피해상황을 확인하도록 하는 등 제도 정비가 필요하다”고 말했다.

저작권자 © 의학신문 무단전재 및 재배포 금지