국가정보원이 북한 해킹그룹의 의료시스템 공격에 대응해 보안 가이드라인을 내놓은 가운데, 그간 병원 등 의료시스템 보안이 취약한 데다 투자에도 소극적이었다는 지적이 나오고 있다. 사이버 위협이 갈수록 심화하고 있어 의료계의 전향적 태도가 필요하다는 목소리가 커진다.
7일 정보보호산업계 등에 따르면, 병원 등 의료업계가 다른 산업군과 비교해 정보보안 투자에 소극적인 등 인식이 낮은 편이다.
실제 '2024년 정보보호 공시 현황 분석'을 살펴보면, 8개 업종별 평균 정보보호 부문 투자액에서 의료 업종이 10억원으로 꼴찌를 기록했다. 정보보호 투자에 적극적인 금융 및 보험업(76억원), 정보통신업(59억원)과 비교하면 현격한 차이를 보이며, 운수 및 창고업(19억원), 사업시설 관리, 사업 지원 및 임대서비스업(20억원), 건설업(11억원) 등에 비해서도 뒤처졌다.
또 국내 한 사이버위협인텔리전스(CTI) 기업이 지난해 국내 병원을 대상으로 TI를 분석한 결과, 환자 리스트와 진료내역 등을 담은 시스템과 병원 내 간호사 호출 시스템 등을 외부에서 침투할 수 있었다. 또 국내에서만 100대가 넘는 전자의무기록(EMR)이 발견됐다.
병원 전산시스템과 의료정보 등이 국민 생명과 직결되는 만큼 사이버 보안 강화를 노력이 요구된다. 국정원이 지난 3일 병원정보시스템 보안 강화를 위한 가이드라인을 발표한 것도 같은 맥락으로 해석된다. 북한 등 사이버위협 세력이 최근 수년간 병원 의료정보시스템에 대한 사이버 공격을 벌여왔으며, 특히 북한이 2025년 '보건혁명의 원년'으로 선포하고 국내 의료정보·기술 탈취에 집중하고 있기 때문이다.
한 사이버보안 기업 대표는 “컨설팅을 위해 기업 관계자를 만나다 보면 의료기관과 교육기관이 정보보호 투자에 인색하다”면서 “문제는 의료기관의 사이버 보안 취약성이 크다는 것”이라고 말했다.
이어 “의료시스템이 사이버 공격을 당할 경우 그 피해는 단순 정보 유출이 아닌 환자 생명까지 위협할 수 있다”며 “소 잃고 외양간 고치는 우를 범하지 않기 위해 선제적 투자가 필요하다”고 덧붙였다.
조재학 기자 2jh@etnews.com
