김상희 국회부의장 "병원해킹 '진료정보 유출' 법으로 예방"
김상희 국회부의장 "병원해킹 '진료정보 유출' 법으로 예방"
  • 이승우 기자 potato73@doctorsnews.co.kr
  • 승인 2021.10.26 11:22
  • 댓글 0
  • 페이스북
  • 트위터
  • 네이버밴드
  • 카카오톡
이 기사를 공유합니다

의료법 개정안 발의..."랜섬웨워 등 해킹 예방, 진료정보 유출 방지"
정보보안관제 가입, '의료정보보호센터' 보건복지부 운영, 관계부처 공조 등 골자
김상희 국회부의장(더불어민주당/과학기술정보방송통신위원회). ⓒ의협신문
김상희 국회부의장(더불어민주당/과학기술정보방송통신위원회). ⓒ의협신문

해킹 등 랜섬웨어로 인한 의료기관, 특히 대형병원의 진료정보 유출 사례가 증가하는 것을 예방하기 위한 법적 근거 마련이 추진된다.

김상희 국회부의장(더불어민주당/과학기술정보방송통신위원회)은 26일 의료기관 해킹을 예방하고 의료정보 유출 막기 위한 의료법 개정안을 대표 발의했다.

개정안의 골자는 의료기관의 해킹 등 침해사고에 대한 긴급조치를 위해 보건복지부가 관계 부처에게 인터넷주소 등 정보를 요청할 수 있도록 하는 내용이다.

특히 일정 수준 이상의 의료기관이 의료ISAC이나 C-TAS와 같은 정보보안관제를 받도록 하고 '의료정보보호센터'를 보건복지부가 직접 운영해 의료기관의 해킹 등 침해사고 발생 시 관련 부처간 공조하도록 했다. 

보건복지부가 의료기관에 대한 해킹 등 침해사고의 피해를 빠르게 막기 위해서는 부처 간 정보 공유가 원활하게 이루어져야 하지만 현행법상 근거 규정이 없어 신속한 해킹 대응이 어려운 점을 해결하기 위한 것.

김 부의장이 보건복지부에서 제출받은 자료를 분석한 결과 의료법 제23조의3(진료정보 침해사고의 통지) 개정 이후 현재까지 총 25개의 병원에서 해킹 시도가 있었다는 사실이 밝혀졌다.

의원급 의료기관 8곳 중 성형외과에서 2건, 산부인과와 피부과, 외과, 소아청소년과, 가정의학과, 내과에서 각각 1건의 렌섬웨어 피해를 받은 것으로 나타났다. 성형외과나 산부인과, 피부과의 경우 성형수술과 출산, 임신 등 환자의 민감한 개인정보가 있어 해킹 등 전자 침해사고로 진료정보와 환자정보가 유출된다면, 매우 심각한 문제가 발생할 가능성이 크다는 지적이다.

특히, 많은 환자의 진료와 영상 기록물을 보유하고 있어 각별한 보안이 필요한 종합병원급 이상 병원 에서 렌섬웨어와 DDoS 공격이 8건 발생한 것으로 확인됐다. 2020년 9월 발생한 상급종합병원의 DDoS 공격으로 접속 장애가 발생했지만 다행히도 개인정보 유출 등의 피해는 없었다.

보건복지부는 2019년부터 의료기관 공동 보안관제센터(의료ISAC·아이삭)을 운영하고 있으며, 현재까지 20개의 종합병원과 23개의 상급종합병원의 해킹 등 전자 침해사고에 대한 모니터링을 하고 있다. 한국인터넷진흥원(KISA)를 통해 접수된 의료기관 해킹 정보도 역시 의료ISAC을 통해 공유받고 있다. KISA 역시 해킹 피해를 막기 위해 2014년부터 의료기관과 기업을 대상으로 사이버위협정보 분석공유시스템(C-TAS·씨타스)를 구축해 지금까지 운영 중이다.

ⓒ의협신문
ⓒ의협신문

하지만, 의료기관에 대한 해킹 관련 대책은 여전히 미흡하다는 지적이 나오고 있다. 김 부의장이 KISA에서 제출받은 의료기관의 C-TAS 가입 현황을 살펴보니, 45개 상급종합병원 중 5개만 해킹을 예방하고 해킹에 대한 정보를 공유할 수 있는 C-TAS에 가입했다. 

또한 2020년 12월, 해외 보안전문 업체 CybelAngel(사이벨앤젤)은 약 950만장의 대한민국의 영상정보가 인터넷에 노출되어 있다는 자료를 배포했다. 보건복지부는 그 중 의료기관 IP 주소로 확인되고 의료영상이 유출된 58개 의료기관을 과기부에 조치를 요청했지만 현재까지 26개의 민간의료기관의 영상정보가 그대로 노출돼 있다는 점도 확인됐다.

이에 김 부의장은 "국내 상급종합병원 45개 중 씨타스에 가입한 병원이 5개뿐이라는 것은 심각한 문제다"고 지적하며, "씨타스와 의료 아이삭이 연계돼 있지만, 의료기관의 해킹 피해를 막기 위해 과학기술부가 보건복지부와 논의해 상급종합병원의 씨타스 가입 방안을 마련해야 할 필요가 있다"고 강조했다.

이어 "병원들의 해킹 피해를 막고 민감한 의료정보의 유출을 막기 위해서라도 정보보안관제 가입과 의료정보보호센터의 복지부 직접 운영은 꼭 필요하다"며, "개정안이 하루빨리 통과돼 의료기관의 해킹을 사전에 막을 수 있는 방안이 마련되길 바란다"고 말했다.

 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

* 기사속 광고는 빅데이터 분석 결과로 본지 편집방침과는 무관합니다.