의협, 보건소 등 점검 결과 의료정보 '탈취' 가능성 확인
사전 대비 없이 원격의료 시행시 약 2700억 피해 예상
정부가 추진 중인 원격의료 서비스가 도입될 경우 환자 개인 의료정보가 해킹될 수 있는 것으로 드러났다.
대한의사협회는 오늘 오후 기자회견을 열어 의료정책연구소가 실시한 원격의료사업의 기술적 안정성 평가 결과를 공개할 예정이다.
사전에 배포된 자료에 따르면 2014년 10월 29일부터 2015년 7월 31일까지 약 9개월간 의협의 연구용역을 받은 고려대학교 정보보호대학원 연구팀이 보건소 등을 대상으로 원격의료 서비스의 안정성을 평가한 결과 △비 암호화 통신 △악성코드 감염 노출 △비밀번호 설정 취약 △파일 외부 전송 통제 불가 △PC 보안 프로그램 미설치 △저 품질의 영상 △ID카드 도용으로 인한 오진 발생 가능 △외부인의 시스템에 대한 접근차단 조치 부실 △서비스 이용 교육 및 정보 제공 부재 △이용자 개인정보 동의 및 관리절차 부재 등 문제점이 발견됐다.
연구팀은 평가를 위해 국내·외 원격의료 관련 기준을 수용하고 국내·외 법령 및 표준과 국외 선진보안관리체계를 일원화해 높은 수준의 원격의료체계 평가기준을 개발했다고 밝혔다. 평가항목은 원격의료를 포함한 의료분야 전체를 평가할 수 있도록 '의료분야' 13개 대분류와 '원격의료분야' 3개의 대분류로 나뉘어 총 195개에 달한다.
이번 조사에는 이들 기준 가운데 총 44개 항목만이 적용 가능했고, 그 결과 적용된 모든 평가항목에서 제시하는 보안요구사항을 만족하지 못하고 있다는 사실이 밝혀졌다.
연구팀에 따르면 조직·운영·자산·정책 등과 관련된 평가항목은 보건복지부의 비협조로 인해 확인할 수 없었다. 그러나 '원격의료 진료실에 대한 보호조치 부재', '비인가자의 원격의료 시스템 접근 가능', '문제발생 시 대응절차 미흡' 등 문제점은 확인했다.
특히 원격의료서비스에 이용되고 있는 의료기기(블루투스 혈압측정계)에 대한 모의 해킹을 수행한 결과, 어플리케이션 로그인 시 아이디·비밀번호를 포함한 개인정보가 평문으로 전송돼 탈취 가능했다. 또 혈압 측정결과 입력 및 확인 시 혈압, 맥박 등의 의료정보가 탈취 가능했으며, 파라미터 변조를 통한 타인의 혈압 측정결과를 확인하거나 변조하는 일도 가능했다. 모바일 기기 내 개인정보 역시 빼낼 수 있었다.
이 같은 정보 보안의 취약성으로 인한 피해규모가 수 천 억원에 달하는 것으로 나타났다.
연구팀은 최근 발생한 약학정보원 정보 유출 사고와 같은 실제 사례를 반영한 시나리오에 대해 위험분석을 수행해 위험정도 및 피해규모를 산정했다. 그 결과 정부가 추진 중인 원격의료 서비스는 보안기능이 갖춰져 있지 않아 대부분 시나리오에 대해 위험도가 높은 것으로 확인됐다. 구체적인 피해 규모는 약 2000억 원에서 2700억 원 정도로 추정됐다.
의협은 "이번 연구 결과, 원격의료 서비스는 '비 암호화 통신' '접근통제 미비' '보안 프로그램 미비' 등으로 인해 기술적 안전성 조치가 전무한 상태"라며 "현 상태의 서비스 수준으로 운영될 경우 약학정보원 의료정보 유출사례와 같은 보안 사고 발생이 자명하다"고 지적했다.
이어 "보건복지부 등 정부와 관련기관은 서비스 품질 향상과 병행해 보안성 증대에 예산과 정책 자원을 투입하고 사전 대비해야 한다"며 "국민의 생명을 담보로 하는 원격의료 서비스는 이해당사자만의 문제가 아니라 국민 전체가 관심을 가져야 한다"고 강조했다.
한편 연구팀은 이번 평가를 진행하기 위해 총 22회에 걸쳐 보건복지부 및 원격의료 관련기관에 현장 확인 협조를 요청했으나 받아들여지지 않았다고 밝혔다.앞서 의협은 지난 2월 25일 기자회견을 열어 "보건복지부가 실시 중인 원격의료 시범사업과 관련해 '원격의료체계 기술적 안전성 평가 연구'를 추진하고 있으나, 보건복지부의 협조 불응으로 단 한 군데도 점검할 수 없었다"고 비판했다.
