[데일리메디 고재우 기자] #. A병원은 PACS(의학영상정보시스템) 데이터 일부가 랜섬웨어에 감염된 사실을 확인한 후 서버와 일부 PC를 포맷했으나, 1개월 후 재감염 돼 보건복지부에 해당 사실을 알렸다.
#. B병원은 랜섬웨어 감염으로 EMR(전자의무기록시스템) 정보가 암호화 돼 수기로 진료하다가 민간 복구 업체를 통해 자료를 복구한 후에야 정상 진료를 할 수 있었다.
서울대병원 등 빅5를 비롯한 주요 의료기관들의 의료정보 유출을 막기 위한 방안이 추진된다.
의료기관 공동 보안관제센터(의료ISAC·아이삭) 혹은 사이버위협정보분석공유시스템(C-TAS·씨타스) 등의 정보보완관제를 주요 의료기관으로 하여금 받도록 하고, 보건복지부는 ‘의료정보보호센터’를 운영토록 하는 내용이다. 이를 통해 의료기관을 대상으로 행해지는 해킹 등을 사전 예방하자는 취지다.
김상희 국회 부의장은 26일 이 같은 내용이 포함된 의료법 개정안을 대표 발의했다.
해당 개정안은 일정 수준 이상의 의료기관이 아이삭이나 씨타스 같은 정보보안관제를 받도록 하고, 보건복지부가 의료정보보호센터를 운영토록 규정해 의료기관의 해킹 등 침해사고 발생 시 부처 간 공조를 가능케 하는 내용을 담고 있다.
아이삭은 보건복지부가 지난 2019년부터 운영 중인 의료기관 공동 보안관제센터이고, 씨타스는 한국진흥원이 지난 2014년부터 의료기관 및 기업을 대상으로 해킹 피해를 막기 위해 운영 중인 사이버위협정보 분석공유시스템이다.
현재 45개 상급종합병원 중 씨타스에 가입된 병원은 5개에 불과하다.
김 의원실에 따르면 지난해 3월부터 올해 10월까지 의료기관 해킹 및 전자침해사고 발생건수는 총 25건이다. 세부적으로 의원급 8건, 병원급 9건, 종합병원급 이상 8건 등이다.
진료과별로는 의원급 의료기관 8곳 중 성형외과 2건, 산부인과·피부과·외과·소아청소년과·가정의학과·내과 등에서 각 1건씩 랜섬웨어 피해를 받았다. 특히 성형외과·산부인과·피부과 등의 경우 성형수술, 출산, 임신 등 환자의 민감한 개인정보가 있다는 점에서 진료정보 유출에 대한 우려가 크다.
실제로 지난해 12월 해외 보안전문 업체 사이벨앤젤은 약 950만장의 대한민국 영상정보가 인터넷에 노출돼 있다고 공개했다. 보건복지부는 과학기술정보통신부에 의료기관 IP 주소로 확인된 의료영상 유출 58개 의료기관에 대한 조치를 요청했으나, 현재까지도 26개 의료기관의 영상정보는 그대로 노출돼 있다.
김 부의장은 “국내 상급종합병원 45개 중 씨타스에 가입한 병원이 5개 뿐이라는 것은 심각한 문제”라며 “과기정통부와 보건복지부가 논의해서 의료기관 해킹 피해를 막기 위한 상급종합병원의 씨타스 가입 방안을 마련해야 한다”고 지적했다.
이어 “병원들의 해킹 피해를 막고 민감한 의료정보 유출을 막기 위해서라도 정보보안관제 가입과 보건복지부의 의료정보보호센터 직업 운영은 꼭 필요하다”고 덧붙였다.