최근 3년간 총 74개 의료기관에서 사이버 침해사고가 발생한 것으로 드러났다. 세부적으로 상급종합병원 4건(5.4%), 종합병원 13건(17.5%), 병원 22건(29.7%), 의원 35건(47.2%) 등이었다.
국회 보건복지위원회 김영주 의원(더불어민주당)은 보건복지부, 한국사회보장정보원, 한국인터넷진흥원, 교육부로부터 제출받은 자료를 14일 공개했다.
의료기관 사이버 침해사고는 2020년 13건, 2021년 21건, 2022년 23건, 2023년 7월 기준 17건으로 매년 증가하는 추세다.
그동안 발생한 침해사고는 4가지 유형으로 분류할 수 있다.
환자진료정보 파일을 암호화해 사용 불가 상태로 만들어 금전을 지불토록 유인하는 ▲랜섬웨어 악성코드 68건(90.5%) ▲DDoS(디도스) 공격 2건(3.16%) ▲해킹 2건(3.16%) ▲IP유해 공격 2건(3.16%)으로 약 90%이상이 악성코드 랜섬웨어 공격이었다.
사이버 침해사고가 가장 많이 일어난 지역은 서울로 최근 3년간 총 26건(35.1%)이 발생했다. 다음은 경기도 12건(16.2%), 광주광역시 6건(8.1%), 경상남도 6건(8.1%), 부산광역시 5건(6.7%) 순으로 나타났다.
이러한 사이버 공격은 의료기관에 막대한 피해를 줄 뿐만 아니라 환자들 개인정보가 유출될 수 있어 각별한 주의가 필요하다.
특히 상급종합병원이나 종합병원처럼 규모가 큰 의료기관일수록 환자들 개인정보가 수십만 건 유출될 수 있어 매우 위험하다는 지적이다.
지난 2020년 9월 원광대병원은 DDoS공격을 받았고, 서울대병원은 2021년 7월과 2022년 7월 두 차례에 걸쳐 랜섬웨어를 당했다.
2022년 2월에는 대전을지병원이 랜섬웨어 공격을 받았으며 같은 해 3월에는 부산 대동병원 홈페이지를 통해 환자 개인정보가 유출되는 사고가 발생했다.
지난해 11월 중앙대병원 의료장비도 랜섬웨어 공격을 받았으며 금년 8월에는 이대서울병원 서버가 랜섬웨어에 감염돼 일부 환자정보가 유출되기도 했다.
사이버 침해사고 의료기관 금전적 피해
한편 랜섬웨어, 해킹, 디도스 공격 등으로 다수의 의료기관이 금전적 피해를 본 것으로 확인됐다.
사이버 공격을 하는 집단들은 의료기관을 공격한 후 랜섬노트라는 것을 남겼다. 이는 피해 의료기관 관계자에게 감염사실을 알려주고, 공격자와의 연락 방법(이메일, 텔레그램 등) 및 복구비용 등을 피해 의료기관 컴퓨터 화면에 남기는 것을 뜻한다.
A종합병원은 4500만원을 주고 랜섬웨어로 암호화된 환자 진료정보를 복구했으며 B의원은 3300만원을 주고 복구업체를 통해 해커와 협상 후 상황을 마무리졌다.
또한 복구 비용으로 1500달러를 준 의료기관부터 비트코인으로 복구비용을 지불한 병원도 있었던 것으로 밝혀졌다.
이같이 의료기관이 지속적으로 랜섬웨어, 해킹, 디도스와 같은 사이버 침해사고를 당하는 이유는 의료정보보호센터 보안관제 서비스에 가입하지 않고 있기 때문으로 확인됐다.
현재 보건복지부 산하 한국사회보장정보원은 의료법 제23조의4(진료정보침해사고의예방및대응)에 근거해 국내 의료기관들을 대상으로 사이버 침해사고를 예방하는 보안관제 서비스 업무를 맡아 진행하고 있다.
하지만 국내 상급종합병원 45곳 중 해당 서비스에 가입한 의료기관은 15개, 대학병원 중 교육부에서 운영하는 보안 서비스에 가입한 12개 의료기관을 제외하고 나머지 18개(40%) 상급종합병원은 사이버 침해사고 위험에 그대로 노출돼 있었다.
또한 전국 267개 종합병원 중 보안관제 서비스에 가입한 의료기관은 19개(7.1%)에 불과했다.
김영주 의원은 “상대적으로 병원 규모가 큰 상급종합병원이나 종합병원도 보안 서비스를 가입하지 않는 이유는 서비스 가입이 법적으로 의무화되지 않았고, 연간 지불해야 하는 연회비에 부담을 느끼기 때문이다”고 말했다.
김영주 의원은 “관련법 개정을 통해 일정 수준 이상 병원들의 보안관제 서비스 가입 의무화 및 이를 소홀히 한 병원들에 대한 과태료 상향을 추진하겠다”며 “복지부와 사회보장정보원은 하루속히 피해 의료기관 중 환자 개인정보 유출 여부에 대해 전수조사해야 한다”고 주장했다.