국내 은행 95%가 가입한 공동 보안관제 서비스에 종합병원은 6%만 가입하는 등 의료업계 보안 수준이 크게 떨어지는 것으로 나타났다.
의료데이터는 민감한 개인정보일 뿐만 아니라 생명과 직결되는 만큼 보안에 각별한 주의가 요구되지만 의료업계 보안 인식은 부족하다는 지적이 나온다.
김미애 국민의힘 의원실이 한국사회보장정보원으로부터 제출받은 ‘의료정보보호센터 보안관제 가입기관 현황’에 따르면, 올해 4월 말 기준 종합병원 가입률은 6%(256곳 중 15곳)에 불과했다. 상급종합병원 역시 절반 수준(52%·33곳 중 17곳)에 그쳤다.
의료정보보호센터(구 의료기관 공동보안관제센터·의료ISAC)는 사전 취약점 점검부터 실시간 보안관제, 사이버 침해 대응, 위협정보 공유, 보안 교육·훈련 등을 수행한다. 의료분야 사이버 위협에 효과적으로 대응할 공동 대응체계 구축을 위해 2018년 출범했다. 공동 보안관제를 통해 비용을 절감하고 전문적·효율적 대응 체계 구축으로 특화된 보안관제 서비스를 제공하는 게 목표다.
지난해 국회 국정감사에서도 종합병원 등 의료기관의 낮은 의료ISAC 가입률이 도마 위에 올랐지만 여전히 개선되지 않고 있다. 저조한 가입률은 사이버 안보에 안일하고 무관심한 의료기관의 행태를 보여준다는 지적이다.
금융기관과 비교하면 현격한 차이가 드러난다. 금융보안원이 국회에 제출한 ‘금융정보공유분석센터(금융ISAC) 가입기관 현황’에 따르면, 지난해 말 기준 은행의 금융ISAC 가입률은 95%(20곳 중 19곳)에 달한다. 보험사 역시 74.5%(55곳 중 41곳)가 가입하는 등 금융업계는 정보보안에 높은 관심을 보이고 있다.
금융사와 의료기관의 정보보안 투자 격차도 크다. 정보기술부문 투자액 중 정보보호부문 투자액 비중은 우리은행(11%)이 서울아산병원(9.5%)을 앞선다. 정보보호 인력도 우리은행이 약 77명(총 직원 수 1만4254명)인데 반해 서울아산병원은 7명(총 직원 수 9100명)뿐이다.
보안업계는 의료기관의 보안 인식 제고가 필요하다고 지적한다. 북한 정찰총국 산하 해커조직 ‘김수키’가 지난 2021년 서울대병원을 해킹해 83만건의 개인정보를 유출하는 등 의료기관의 개인·진료정보 해킹 우려가 지속 커지고 있다.
보안기업 관계자는 “금융업계와 비교하면 의료업계 보안담당자 역량이 떨어지고 병원 내부에서 보안을 중요하게 여지기지 않는 게 사실”이라며 “민감정보인 진료정보 유출 사고가 늘어나는 만큼 보안에 대한 각별한 관심이 필요하다”고 말했다.
조재학 기자 2jh@etnews.com