일선 의료 기관에 대한 보건복지부의 해킹 현황 파악과 관리 감독이 허술하다는 지적이 나왔다.
한국인터넷진흥원이 권미혁 더불어민주당 의원에게 제출한 자료에 따르면, 2013년부터 올해 8월까지 의원급 의료 기관에 대한 해킹은 13건이었다. 하지만 권 의원은 의료 기관은 해킹 피해 발생 시 복지부와 한국인터넷진흥원에 보고해야 할 의무 대상에서 제외되어 있기 때문에 실제 해킹 피해는 이보다 많을 것으로 추정했다. 현재 보건복지부는 해킹 피해가 한국인터넷진흥원 담당이라는 이유로 일선 기관에 해킹 관련 교육과 피해 의무 보고 등의 조치를 취하지 않고 있지 않다.
권 의원은 또 현재 보건복지부가 산하 유관 기관에 대해서만 해킹 예방 교육과 관제를 실시하고, 일선 의료 기관에는 총론적인 정보 보호 지침서만 하달하고 있다고 문제를 지적했다.
입법조사처에 따르면, 미국은 2015년 기준으로 핵심 인프라 가운데 의료 기관에 대한 해킹 공격이 전체의 21%였으며, 의료 기관은 하루 평균 1000건의 공격을 받고 있는 것으로 나타났다. 이에 미국 보건복지부는 랜섬웨어 등 해킹 예방과 대처 방안 홍보를 위해 지침서를 배포하고, 랜섬웨어 공격 시 반드시 보고하도록 지침을 개정했다. 특히 지침서에는 악성 소프트웨어에 대응한 구체적인 행동 요령을 담고 있는 것으로 조사됐다.
미국과 달리 한국 보건복지부가 병원급과 의원급으로 나눠 배포한 지침서는 해킹 피해 시 대응 요령과 사후 대책 등에 대한 내용이 제외되어 있다. 특히 한국인터넷진흥원에 신고된 해킹 대부분이 의원급 의료 기관에서 발생했지만 의원급 지침서는 30쪽에 불과하다. 이에 권 의원은 의원급 의료 기관이 실제 해킹 위험에 상대적으로 더 노출되어 있음에도 지침서가 부실하게 구성되어 있다고 지적했다.
권 의원은 “2015년 북한의 대학병원 전산망 장악, 2016년 병원 개인 정보를 해킹해 커플 앱 계정에 침입한 사건 등 의료 기관 해킹 사례가 급증했음에도 복지부가 개인 정보 보호에 안일하게 대처하고 있으며, 관련 현황조차 제대로 파악되지 않고 있다. 랜섬웨어 등 해킹 예방, 대응 등에 대한 구체적 행동 요령을 담은 지침서를 만들어 배포함과 동시에 해킹 시 복지부가 현황을 보고받고 피해 상황을 확인하도록 하는 등 제도 정비가 필요하다”고 말했다.
