![[사진=연합뉴스·셔터스톡, 그래픽=김진영 기자]](https://images-cdn.newspic.kr/detail_image/181/2026/2/3/5e3931df-71ba-46e2-961c-6758b7658303.png?area=BODY&requestKey=w3Hru72p)
[이뉴스투데이 김진영 기자] 국립대병원 전산망이 잇따라 랜섬웨어 공격에 노출되며 의료 정보 보안의 취약성이 수면 위로 떠올랐다. 강원대학교병원과 전남대학교병원은 최근 의료영상저장전송시스템(PACS)이 사이버 공격을 받아 한때 영상 판독과 진료 지원에 차질을 빚었다. 병원들은 “진료에는 큰 문제가 없었다”고 밝혔지만, 응급 서버 가동과 네트워크 차단이라는 비상 대응이 반복됐다는 점에서 의료 인프라의 구조적 한계가 드러났다는 지적이 나온다.
문제는 이 같은 사고가 특정 병원의 우연한 해프닝이 아니라는 점. 과학기술정보통신부에 따르면 최근 해커 커뮤니티를 통해 국내 병원·대학·소규모 기관 약 20곳의 개인정보가 거래된 정황이 확인됐다. 병원 출입 기록, 기숙사 출입 정보 등 민감 정보가 포함됐을 가능성도 제기된다. 보안 업계는 상대적으로 보안 투자가 적고 개인정보가 밀집된 의료·교육기관이 자동화된 해킹 공격의 주요 표적이 되고 있다고 진단한다.
의료기관 전산망이 반복적으로 뚫리는 배경은 분명해 보인다. PACS는 MRI·CT 등 영상 데이터를 병원 내외로 공유하는 핵심 인프라이지만, 동시에 외부 공격에 가장 취약한 경로이기도 하다. 종합병원의 96%가 이미 PACS를 도입했지만, 네트워크·의료기기·EMR이 복잡하게 얽힌 구조 속에서 보안 투자는 뒷전으로 밀려왔다.
한국인터넷진흥원(KISA)에 따르면 의료 업종의 평균 정보보호 투자액은 연간 9억원으로, 금융·통신·제조 등 8개 주요 산업군 가운데 가장 낮은 수준이다. 평균 정보보호 전담 인력 역시 2.7명에 불과. 병원 규모와 전산 시스템 복잡도를 고려하면 사실상 최소 인력만 유지하고 있는 셈이다. 건강보험심사평가원 학술지 HIRA 리서치에 실린 연구에 따르면 종합병원의 94.9%는 상주 정보보안 인력이 없었고, 73.7%는 전담 인력 자체를 두지 못한 상태로 조사됐다.
의료 데이터는 외부 네트워크와 광범위하게 연결돼 있지만 방어 체계는 이를 따라가지 못하고 있다. 전자의무기록(EMR)을 인터넷에 연결해 운용하는 종합병원은 71.3%에 달했지만, 침입방지시스템(IPS)을 구축한 곳은 57.6%, 웹 방화벽과 메일 보안 설루션을 갖춘 병원은 각각 38.1%, 33.1%에 그쳤다. 의료 서비스의 디지털화는 빠르게 진행됐지만, 그에 상응하는 보안 투자는 구조적으로 후순위로 밀려왔다는 평가가 나온다
구형 운영체제와 보안 패치가 중단된 시스템이 여전히 사용되는 이유도 명확하다. 보안 업데이트 과정에서 발생할 수 있는 오류가 진료 중단이나 의료 사고로 이어질 수 있다는 부담 때문이다. 한 보안업계 관계자는 “의료기관은 오래된 운영체제를 사용하는 경우가 많고, 업그레이드 과정에서 오류가 발생하면 의료 사고로 이어질 소지가 있어 보안 패치에 소극적일 수밖에 없다”며 “대응 체계가 준비되지 않은 상태에서 해킹 시도만 늘어나면서 사고가 반복되고 있다”고 말했다. 이에 따라 취약점은 누적되고, 공격자는 이를 반복적으로 파고든다는 해석이다.
해외의 접근 방식은 조금 다른 양상이다. 미국은 의료 보안을 ‘사고 대응’이 아니라 ‘사전 설계’의 문제로 보는 분위기다. 미 보건복지부 산하 연구기관은 병원 시스템을 가상으로 복제한 ‘디지털 트윈’을 활용해 진료 중단 없이 보안 취약점을 사전에 점검·보완하는 프로젝트에 대규모 예산을 투입하고 있다. 공격을 전제로 시스템을 설계하고, 보안을 환자 안전의 일부로 간주하는 접근이다.
국내 정책의 우선순위는 엇갈려 있다. 정부는 최근 병원·수영장·산후조리원 등에서 사용되는 IP카메라에 대해 보안 인증을 의무화하고, 제조사뿐 아니라 설치업체·통신사까지 책임 주체를 확대하는 방안을 추진하고 있다. 반면 병원 전산망과 의료 데이터에 대해서는 최소 보안 기준이나 의무 인증 체계가 없다. 신체 노출 영상에는 사전 규제가 적용되지만, 생명·건강 정보가 오가는 의료 차트는 사실상 사후 관리에 맡겨져 있는 셈이다.
이 같은 흐름은 의료 데이터 활용 정책에서도 확인된다. 정부는 부산대병원을 개인정보관리 특수전문기관으로 지정해 의료 마이데이터 활용과 AI 기반 헬스케어 사업을 추진하고 있다. 의료 데이터의 활용 범위가 제도적으로 확대되고 있는 가운데 병원 전산망의 보안 인력과 투자, 기술 기준은 각 의료기관의 자체 판단에 맡겨져 있다. 의료 데이터 활용은 정책적으로 지원되고 있지만, 데이터 보호 체계는 의료기관별 여건에 따라 다르게 구축되는 모양새다.
의료 현장에서는 보안 대응이 진료 환경과 분리되기 어렵다는 점을 언급한다. 한 종합병원 관계자는 “의료 시스템은 24시간 가동되는 경우가 많아 보안 패치나 시스템 변경 과정에서 문제가 발생하면 진료 중단이나 의료 사고로 이어질 수 있다는 부담이 크다”며 “보안 필요성을 인식하고 있어도 실제 적용 과정에서는 신중해질 수밖에 없는 구조”라고 설명했다.
한 보안업계 관계자는 “최근 사이버 공격은 특정 기관을 노린다기보다 취약한 곳을 자동화된 방식으로 훑는 형태”라며 “의료기관은 상대적으로 보안 투자가 적고 개인정보가 밀집돼 있어 공격자가 반복적으로 시도하는 대상이 되고 있다”고 경고했다. 이어 “인공지능(AI)과 자동화 도구를 활용해 동시에 여러 기관을 공격하는 방식이 늘면서 피해 범위도 빠르게 확산하는 추세”라고 덧붙였다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
