국내 스크린 골프 업계 1위 ‘골프존’이 개인정보보호법 위반으로 과징금 75억원 처분을 받으면서 민감한 진료정보를 관리하는 병원계도 경각심을 가져야 한다는 주장이 제기되고 있다.
개인정보 관리 주체의 책임성을 강화하기 위해 개정된 개인정보보호법 첫 적용 사례인 만큼 향후 처분 사례가 이어질 수 있다는 분석이다.
특히 보안 책임자가 상주하는 대형병원 대비 상대적으로 환자정보 관리에 취약할 수 밖에 없는 중소병원의 경우 억울한 처분 가능성이 높은 만큼 철저한 대비가 필요한 상황이다.
개인정보보호위원회는 최근 골프존에 대해 총 75억400만원의 과징금 및 540만원의 과태료 부과를 담은 시정명령 및 공표명령을 의결했다.
골프존이 개인정보보호법상 안전조치 의무를 위반했고, 개인정보 파기 의무도 준수하지 않았다는 이유였다.
지난해 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 강화한 개인정보보호법 개정 이후 첫 처분 사례다.
문제는 해커들의 주요 공격 대상인 병원들도 언제든지 과징금 처분을 받을 수 있다는 점이다. 실제 해커들의 병원 공격은 세계적인 추세다.
보안업계에 따르면 전세계 산업별 해킹 공격 순위에서 헬스케어 분야는 서비스와 숙박업에 이어 3위에 올랐다.
병원이 보관하고 있는 각종 진료정보는 재활용 가치가 높고, 병원 진료 시스템은 사람의 생명과도 직결된 만큼 해커의 요구에 신속하게 응할 가능성이 높기 때문이다.
특히 진료정보는 2차 피해로 이어질 수도 있다. 환자에게 성형이나 정신질환 병력 등을 공개하겠다며 금전을 갈취하는 사례도 심심찮게 발생하고 있다.
이 경우 병원은 진료정보 관리 부실에 대한 과징금 처분 외에도 환자들로부터 손해배상 청구소송 등에 휘말릴 가능성이 농후하다.
병원 대상 해킹, 전세계적 증가 추세…보안 책임자 없는 중소병원 위험
그나마 대형병원은 대부분 시스템과 전문가 등 나름 방어기전을 갖추고 있지만 중소병원의 경우 보안환경도 미흡하고 전문가 채용 의무도 없어 해킹에 취약할 수 밖에 없다는 지적이다.
실제 지난 3월부터 모든 상급종합병원은 CPO(Chief Privacy Officer, 개인정보 보호책임자) 지정이 의무화됐다.
의료정보 보호 중요성이 강조되고 만큼 병원들이 의무적으로 CPO를 지정토록 함으로써 개인정보보호 수준을 한층 강화시키겠다는 취지다.
하지만 중소병원의 경우 CPO 지정 의무가 없고, 직원 대상 사이버 보안 교육 등도 제대로 이뤄지지 않고 있어 해킹 공격시 속수무책으로 당할 수 밖에 없는 실정이다.
랜섬웨어 누적 피해유형의 88%가 중소기업이라는 통계 역시 중소병원의 취약한 보안환경에 우려를 자아낸다.
중소병원 종사자들은 대형병원 대비 상대적으로 보안에 둔감하고 병원에서 외부사이트를 열어보거나 쉽사리 스팸메일에 노출되고 있는 상황이다.
보건복지부가 발표한 ‘보건의료정보화 실태조사 결과’에서도 국내 병원의 41.7%가 해커의 침입 통로가 되는 외부 상용 이메일 접속을 차단하지 않고 있었다.
컴퓨터에 담긴 환자 개인정보를 완전히 삭제하는 병원도 65.7%에 그치는 것으로 나타났다.
전문가들은 중소병원들이 보안 책임자 채용 여력이 없다면 △업무망-인터넷망 분리 △다중 인증(MFA) 등 시스템적으로도 대책을 마련하는 게 바람직하다고 제언했다.
업무망과 인터넷망 분리는 랜섬웨어, 해킹 등으로부터 내부 시스템을 보호하고 개인정보 유출을 근본적으로 해결할 수 있는 가장 효과적인 방법으로 알려져 있다.
개인정보 보호법에서는 외부에서 개인정보처리시스템에 접속할 수 있고 100만 이상 개인정보를 보유하는 경우 망분리를 하도록 돼 있다.
이전까지 의료정보시스템은 내부에서만 접속할 수 있는 폐쇄적인 환경에서 운영됐으나, 최근 모바일 시스템, 재택근무 등으로 인해 외부 접속을 허용하는 방향으로 변화하고 있다.
때문에 최근에는 많은 병원들이 망분리를 도입 추진 중이거나 검토하고 있다.
‘다중 인증(MFA, Multi Factor Authentication)’도 대안으로 제시됐다. 정보 접근 권한을 부여받기 위해 적어도 두 가지 이상 확인 요소를 제공해야 하는 인증 방법이다.
의료 분야에서는 의료정보시스템을 중심으로 ID와 패스워드를 입력하는 전통적인 방식을 사용했으나 사용자 인증에 대한 다양한 문제가 발생해 새로운 인증체계가 요구되고 있다.
특히 ID 공유로 나타나는 오남용과 보안 취약점을 해결하기 위한 FIDO(Fast Identity Online) 등이 해결책으로 떠오르고 있다.
병원정보보호협의회 관계자는 “병원 보안은 환자 생명을 지키고, 시스템 운영과 가용성 유지를 위한 기본”이라며 “특히 해킹에 취약한 중소병원들 주의가 요구된다”고 말했다.
이어 “병원 내 보안은 보안담당자는 물론 의사, 간호사, 행정직 모두 내가 마지막 ‘보안 책임자’라는 사명감으로 일해야 한다”고 덧붙였다.