의료기관 해킹…우리나라 대비책에 문제점

일선 의료기관 해킹당해도 복지부에 보고할 의무 없어

[사진=아시아경제DB]

[아시아경제 정종오 기자] 의료기관에 대한 해킹을 두고 우리나라 대응책에 문제점이 있는 것으로 드러났다. 전 세계적으로 의료기관 해킹이 증가하고 있는 가운데 우리나라는 일선 의료기관에 보안관련 지침서만 배포하고 있는 실정이다. 해킹을 당해도 주무부처인 보건복지부에 보고를 하지 않아도 되는 허점이 확인됐다. 일선 의료기관에 대한 복지부의 해킹 현황파악·관리감독이 허술하다는 지적이 나왔다.

국회 보건복지위원회 권미혁 의원(더불어민주당)은 한국인터넷진흥원의 자료를 분석한 결과 2013년부터 최근 5년 동안 의원급 의료기관에 대한 해킹은 13건에 불과했다고 설명했다. 문제는 의료기관은 해킹피해가 발생했을 때 복지부와 한국인터넷진흥원에 보고해야 할 의무대상에서 제외돼 있다는 점이다. 이 때문에 실제 해킹 피해는 훨씬 많을 것으로 전망됐다. 이 같은 현실임에도 복지부는 해킹피해 담당은 한국인터넷진흥원이라는 이유를 들면서 일선 기관에 해킹관련 교육·피해의무보고 등의 조치를 취하지 않고 있다고 설명했다.

의료기관 해킹 감독업무를 하고 있는 복지부의 정보화담당관실은 복지부 산하 유관기관에 한정해 해킹 예방교육·관제를 실시하고 있다. 일선 의료기관에는 30 페이지 분량의 총론적 정보보호 지침서만 내려 보내고 있는 것으로 확인됐다.

국회 입법조사처 조사 자료를 보면 미국은 2015년을 기준으로 핵심 인프라 중 의료기관에 대한 공격이 전체 21%였다. 일별 1000건에 달하는 해킹 공격을 받고 있고 지난해에는 그 건수가 4000건에 이르는 날도 있었다. 이에 미국은 의료기관이 해킹을 당했을 때 당국에 반드시 보고하도록 지침을 개정했다.

반면 우리나라는 피해가 발생했을 때 대응요령·사후대책 등에 대한 대응책은 부족한 것으로 나타났다. 정보보호 지침서만으로는 일선기관이 해킹에 대응하기 어려운 실정이라고 권 의원은 진단했다.

권미혁 의원은 "의료기관 해킹사례가 급증하고 있는 상황에도 복지부가 개인정보보호에 안일하게 대처하고 있다"며 "관련 현황조차 제대로 파악되지 않고 있고 랜섬웨어 등 해킹 예방·대응 등에 대한 구체적 행동요령을 담은 지침서를 만들어 배포함과 동시에 해킹 당했을 때 복지부가 현황을 보고받고 피해상황을 확인하도록 하는 등 제도 정비가 필요하다"고 말했다.

정종오 기자 ikokid@asiae.co.kr