[데일리메디 박대진 기자] 지난해 해킹 피해를 입은 서울대학교병원이 사이버 공격 이후에도 보안 취약점을 방치했던 것으로 드러났다.
사이버 공격으로 대량의 의료정보가 유출된 만큼 신속한 피해 복구와 재발 방지를 위해 각별한 신경을 써야했지만 병원은 보안관리 업체만 바라보고 있다는 전언이다.
교육부에 따르면 서울대병원은 지난해 2차례에 걸쳐 사이버 침해사고를 당했고, 교육부와 국가정보원 합동 조사를 실시, 보안취약점을 발견하고 개선을 요구했다.
하지만 병원은 ‘계획을 수립해 조치하겠다’는 보안관리업체 말만 믿고 별다른 검증 없이 해당 업체에 병원 시스템의 보안관리 전체를 계속 일임하는 등 보안 취약점을 방치했다.
교육부 확인 결과, 서울대병원은 정보시스템 유지보수 계약을 체결하면서 취약점 방치 금지 등의 내용을 포함시키지 않았다.
특히 사이버 침해사고 발생에 따른 다량의 의료정보 유출 이후 현재까지 서울대병원 보안 취약점이 방치되고 있음에도 해당 업체에 대한 보안 준수사항 점검을 실시하지 않았다.
해당 업체는 2017년 2월 서울대병원 차세대 의료정보시스템 구축 회의를 통해 DB 암호화를 완료한 것으로 보고했으나 지난해 9월 합동조사 결과 여전히 주민번호 등 개인 의료정보가 암호화 되지 않은 채 방치돼 있었다.
서울대병원은 총 5건의 지적을 받았고, 이 중 △불필요한 서비스 포트 차단 △계정정보 변경 및 서비스 차단 △보안 인증 클라우드 서비스 이용 등 3건에 대해서만 조치를 완료한 상태다.
보안 취약점 방치와 관련해서는 향후 유사 문제가 재발하지 않도록 전문조직을 신설하고 전문인력을 채용할 예정이다.
또한 보안업체 부실 관리에 대해서는 계약서 상 취약점 방치 금지 항목 및 보안 침해 관련 벌금 항목을 추가하기로 했다.
한편, 지난해 6월 5일~11일 기간 중 서울대병원 전산망에 악성코드 감염을 통한 해킹 형태의 사이버 공격이 확인됐다.
병원은 즉각 조사에 나섰고, 보유하고 있던 일부 개인정보를 담은 파일 유출이 의심되는 정황이 포착됐다.
이에 즉시 교육부와 보건복지부, 개인정보보호위원회, 사이버수사대 등에 신고했고, 자체적으로 취할 수 있는 조치를 신속하게 가동했다.
추가 공격에 대비 △해당 IP 및 접속 경로 차단 △서비스 분리 △취약점 점검 및 보완조치 △모니터링 강화 △사용자 PC 비밀번호 변경 △유관기관 신고 등의 조치를 취했다.
이와 함께 유출 가능성이 있는 개인정보는 개인별로 차이가 있어 병원에 등록된 휴대전화 번호로 개별 연락을 취했다.
서울대병원 관계자는 “개인정보 보호와 관련해 불미스러운 일이 발생한 점에 대해 진심으로 사과드린다”며 “향후 유사한 사례가 발생하지 않도록 더욱 최선을 다하겠다”고 말했다.
2020년 7월에는 서울대학교 의과대학 동창회가 해커 공격을 받아 홈페이지 내 회원정보가 유출되는 사건이 있었다. 홈페이지 프로그램 취약점을 이용한 사이버 공격이었다.
당시 해킹으로 서울의대 동창회 홈페이지에 가입된 회원정보가 유출된 것으로 확인됐으며, 현재 한국인터넷진흥원 및 관계기관에서 수사가 진행됐지만 별다른 소득은 없었다.
문제는 해킹 사실을 한 달이 지난 시점에서야 인지했다는 점이다. 서울의대 동창회 홈페이지 관리 업체는 한 달만에 회원정보 유출 사실을 인지한 후 해당 서버를 폐쇄했다.