진료정보 보안 빨간불···복지부·병원 등 '해킹' 만연
2020년 이래 '8만건 이상' 확인···국민건강보험공단 '6만1345건' 최다
2024.10.07 05:08 댓글쓰기

보건복지부를 비롯한 정부부처·기관 및 의료기관에 대한 국민 건강정보 해킹 시도가 여전히 만연한 상황이다. 


지난 2020년 이래 정부기관을 대상으로 8만건 이상의 해킹 시도가 발생했으며 전국 의료기관에서는 220건에 달하는 해킹 등 사이버 침해사고가 발생했다.


6일 국회 보건복지위원회 김선민 의원(조국혁신당)에 따르면 보건복지부, 식품의약품안전처, 국민건강보험공단, 질병관리청, 건강보험심사평가원 대상으로 해킹 시도가 최근 5년 간 8만2876건이 발생했다. 


지난 2020년부터 올해까지 해킹 시도가 가장 많았던 기관은 국민건강보험공단으로 6만1345건이 집계됐다. 이어 ▲복지부 1만4295건 ▲식약처 7011건 ▲질병청 50건 ▲심평원 175건 등으로 나타났다. 


국민 질병정보가 가장 많이 모여있는 건보공단의 경우, 2022년 1만876건에서 2023년 2만1155건으로 두 배 급증했다. 올해 역시 9192건이 발생하며 증가세를 보이고 있다. 


하지만 아직까지 시스템 해킹에 성공한 사례는 없었다. 


국가별로는 미국에서의 해킹 시도가 1만8920건으로 제일 많았고 다음으로 중국 1만8246건, 한국 3199건 순이었다. 


기관별 해킹 시도 국가를 보면 건보공단은 중국이 최다였다. 보건복지부와 식약처는 미국, 질병청과 심평원은 국내 해킹이 두드러졌다. 


해킹 목적은 다양했다. 복지부를 대상으로는 정보유출이 38.8%, 정보수집이 25.8%로 정보를 노린 공격이 가장 많았다. 


식약처 역시 정보유출 목적이 36%로 가장 많았고 정보수집은 17% 수준이었다. 


건보공단은 웹 페이지를 통해 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴 등의 행위를 하는 '웹해킹'(38.7%) 공격을 가장 많이 받았던 것으로 나타났다.


김선민 의원은 "우리나라의 보건의료 시스템을 대상으로 한 공격을 막아낸 것은 다행스러운 일이나 아직 안심하긴 이르다"며 "정보가 목적인 해킹 시도가 가장 많다는 것에 주목하고 경각심을 가져야 한다."고 지적했다.


2020년 이후 의료기관 91건 진료정보 침해사고 발생   


의료기관도 진료정보 침해사고, 그 이외 침해사고가 지속적으로 발생하고 있다. 종별로는 특히 의원급이 위험에 크게 노출돼 있는 편이다.  


그동안 의료기관을 대상으로 발생한 침해사고는 ▲랜섬웨어 악성코드 ▲DDoS(디도스) 공격 ▲해킹 ▲IP유해 공격 등이 있다. 


국회 보건복지위원회 전진숙 의원(더불어민주당)이 복지부, 한국사회보장정보원, 교육부, 한국인터넷진흥원으로부터 제출받은 자료에 따르면 2020년 이후 91건의 해킹 등 진료정보 침해사고가 발생했다. 


병원 규모별로 살펴보면 상급종합병원급 4건, 종합병원급 15건, 병원급 29건, 의원급 43건 등의 진료정보 침해사고가 일어났다. 


국립대병원은 ▲경북대치과병원 6건 ▲충남대병원 5건 ▲충북대병원 2건 ▲제주대병원 1건 ▲서울대병원 1건 등 15건의 침해사고가 발생했다.


충남대병원에서는 9번의 침해시도 중 5번이 성공했으며 경북대치과병원의 경우 6번의 침해시도가 모두 성공한 것으로 드러났다.


서울대병원은 지난 2021년 '비인가 접근'을 통해 환자 및 직원 약 83만명의 개인정보가 유출되기도 했다. 이밖에 진료정보 이외 침해사고는 129건 발생했다. 


의료법 개정·의료기관공동보안관제센터 의무 가입 등 필요성 제기 


이처럼 진료정보 등 민감한 정보를 노리는 공격이 지속되고 있어 의료법 개정, '의료기관공동보안관제센터(의료ISAC)' 의무가입 등의 대안이 제시되고 있다. 


전진숙 의원은 의료기관이 지속적으로 사이버 침해사고 대상이 되는 이유로 보안이 취약한 의료법을 꼽았다. 


실제 의료법은 의료기관에 전자의무기록을 안전하게 관리·보존하는데 필요한 시설과 장비를 갖추도록 규정하고 있지만 구체적인 보안 조치는 명시하지 않고 있다.


반면 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 정보통신서비스제공자에게 시스템 보안과 정보 보호를 위해 정보보호 최고책임자를 지정하는 등의 보호조치 의무를 부과한다.


또 신용정보 이용 및 보호에 관한 법률은 신용정보회사 등의 신용정보전산시스템에 대해 불법적인 접근과 정보 훼손을 차단하기 위한 기술적·물리적 보안 대책을 의무화하고 있다. 


전진숙 의원은 "의료법 개정을 통해 전자의무기록에 대한 보안 조치를 강화하고, 의료기관에 대한 해킹 등을 원천적으로 차단하겠다"고 밝혔다. 



댓글 0
답변 글쓰기
0 / 2000
메디라이프 + More
e-談