랜섬웨어 인한 병원피해 4500만원까지도…김영주 의원 법안발의 예고
사이버 침해사고 대비 자체 보안 프로그램 설치유무 점검 요구도
[의학신문·일간보사=이승덕 기자]랜섬웨어 인한 병원 피해가 한 기관에서 수 천만원이 발생하는 등 의료기관 피해와 개인정보 유출이 심각한 것으로 나타났다.
이에 의료 보안관제프로그램 의무가입법이 입법을 통해 추진될 것으로 확인됐다.
더불어민주당 김영주 의원은 지난 11일 진행된 국회 보건복지부 국정감사에서 이 같은 뜻을 밝혔다.
김영주 의원이 복지부·한국사회보장정보원·한국인터넷진흥원·교육부에서 제출받은 자료에 따르면, 2020년 1월부터 올 7월까지 상급병원 4곳, 종합병원급 13곳, 일반병원급 22곳, 의원급 35곳 등 총 74개 병원이 사이버 침해사고를 당했다.
특히 D종합병원은 해커 4500만원, A의원은 복구업체를 통해 해커와 협상한 총액이 3300만원, B병원과 C병원은 해커복구+수수료로 각각 300만원, 770만원을 지불하는 등 실질적인 피해가 발생했다.
이때 해커들은 의료기관에게 미화, 비트코인 등을 요구하면서 이력을 추적하는 것도 쉽지 않다는 것.
김 의원은 “사이버 침해 사고가 심각한데, 더욱 심각한 것은 상급병원에서 랜섬웨어로 인한 환자 개인정보가 유출됐다는 것”이라며 “현재 개인정보가 어느 정도 유출됐는지 추산할 수 없어서 사태는 더욱 심각하다. 침해사고를 대응하는 기관별로 제각각이기 때문”이라고 지적했다.
이어 “우리나라 사이버 침해사고 대응기관은 복지부 산하 한국사회보장정보원과 과기부 산하 한국인터넷진흥원, 교육부가 있다”며 “그런데 사회보장정보원은 인터넷진흥원처럼 IP주소 등을 확인할 수 있는 법적·제도적 권한이 없다”고 덧붙였다.
대신 사회보장정보원은 국내 의료기관들 대상으로 보안관제 서비스업(의료 공동보안관제센터(Information Sharing & Analysis Center), 이하 의료ISAC)만 업무를 맡아 진행하고 있는데, 가입률도 7.1%에 불과해 문제가 크다는 것이다.
이에 김영주 의원은 “(미가입 이유로) 법적 가입 의무가 없고 연회비가 부담스럽다는 건데, 의료기관이라면 환자들의 개인정보 보호를 위해서 가입을 소홀해서는 안 된다고 생각한다”며 “서비스 가입을 의무화함과 동시에 가입에 소홀한 의료기관은 과태료 등 제도를 만들어야 한다. 그래서 의료법 개정안을 준비중”이라고 강조했다.
복지부 조규홍 장관도 “좋은 점을 지적해 줬다. 지금 상급종합병원 책임의료기관, 응급의료센터 등은 최소한 이런 보안 관제 서비스를 받을 수 있도록 지원 정책을 하도록 하겠다”며 “좋은 법적 방안을 만들면 적극 협의하도록 하겠다”고 응답했다.
한편, 김영주 의원은 “상급병원과 종합병원을 대상으로 사이버 침해사고 대비 자체 보완 프로그램 설치 유무를 점검해 주실 것을 당부드린다”고 함께 언급했다.