정부가 운영하는 보안관제 서비스에 가입한 국내 종합병원이 10곳 중 1곳 수준에 그치는 것으로 나타났다. 정보보안 위협은 커지고 있지만 비용 부담 등을 이유로 사실상 외면하고 있다. 정부가 필수의료기관 중심으로 의무가입을 추진 중인데, 민간 자율 참여를 위해 다양한 인센티브를 고민해야 한다는 지적이 나온다.
19일 정부와 의료기관에 따르면 이달 기준 사회보장정보원이 운영하는 의료기관공동보안관제센터(의료 ISAC)에 가입한 병원은 총 34곳으로 집계됐다. 전체 가입 대상 의료기관이 304곳임을 감안할 때 가입률은 11.1%에 불과하다.
규모별로는 상급종합병원이 가입 대상 35곳(공공의료기관 제외) 중 16곳(47.7%)이 가입했다. 이어 종합병원급 의료기관은 전체 269곳 중 18곳(6.6%)이 가입했다. 500병상 이상 상급종합병원은 절반 정도 가입했지만, 대다수를 차지하는 종합병원은 10곳 중 1곳도 채 안 되는 상황이다.
의료 ISAC은 사회보장정보원이 운영하는 공동 보안관제 센터를 통해 회원사(의료기관)의 정보시스템 취약점 탐지, 위협 대응 등 서비스를 제공한다. 일정 수준 정보시스템을 갖춘 종합병원급 이상 의료기관이 서비스 대상이다. 국내 의료기관의 열악한 정보보안 수준을 감안할 때 합리적인 비용으로 보안관제 서비스를 이용할 수 있다는 점에서 대형병원의 '최소한의 안전장치'로 평가받는다.
그런데도 가입률은 제자리걸음이다. 실제 2021년 기준 의료 ISAC에 가입한 상급종합병원은 15곳(45%), 종합병원 20곳(8%)으로 올해와 비슷하거나 오히려 줄었다.
가장 큰 이유는 비용이다. 사회보장정보원은 상급종합병원(1200만~1800만원), 종합병원(300만~600만원)별로 연간 회비를 받아 보안관제 서비스를 제공한다. 이 비용 자체는 크지 않지만 서비스 제공을 위해 필요한 기반 솔루션 구축, 정보보안 담당자 채용 등 부수적인 투자가 부담이라는 설명이다. 특히 올 초 터진 의정갈등으로 대형병원 경영난이 심화되면서 정보보안 투자 여력은 더욱 줄었다.
정부는 개인 신상은 물론 질병, 금융 정보가 모두 담긴 의료정보 중요성을 감안할 때 국내 의료기관의 사이버보안 수준 향상이 절실하다고 판단한다. 해마다 의원급은 물론 대형병원까지 의료정보 탈취 시도가 끊임없이 발생하지만 대응 역량이 부족하기 때문이다. 실제 국내 대형병원 중 정보보안 전담 부서가 있는 곳은 10곳이 채 안 되는 것으로 알려졌다.
이에 정부는 지역거점의료기관, 응급의료센터 등 필수의료기관을 대상으로 의료 ISAC를 의무가입토록 하는 의료법 개정을 추진할 방침이다. 이 법안은 2021년 당시 김상희 더불어민주당 의원이 발의했지만, 대한의사협회 등의 반대로 무산됐다. 보건복지부와 사회보장정보원은 의무가입 필요성, 효과 등을 검토해 법 개정을 재추진한다는 계획이다.
필수의료기관을 제외한 민간 의료기관의 적극적인 참여를 유도할 방안 마련도 필요하다. 정보보안 인식 제고를 지속 추진하되 정부가 의료 ISAC 가입을 포함한 정보보안 투자에 대한 인센티브를 줄 필요가 있다는 주장도 나온다.
장항배 중앙대 산업보안학과 교수는 “가장 큰 문제는 병원이 정보보안에 대한 인식이 부족해 투자 필요성을 못 느끼는 것”이라며 “의료 ISAC과 같은 서비스 확산을 위해선 정보보안 투자를 유도하고, 성과에 대해 보상할 수 있는 당근이 필요하다”고 강조했다.
정용철 기자 jungyc@etnews.com