의료 환경에 디지털 기술의 영향력이 커짐에 따라 사이버 보안의 중요성이 커지고 있다. 미국 보건복지부는 최근 위험 관리와 환자 보호를 주제로 한 ‘보건의료 산업 사이버 보안 지침(Health Industry Cybersecurity Practices, HICP)’을 발간, 배포했다.
병원 경영진, 정보 보호 전문가를 위해 작성된 이번 보고서에는 보안 전문가 및 헬스케어 전문가 150명이 참여했다. 이는 지난 2015년 제정된 사이버 보안법에 따른 조치다.
보고서는 의료 정보에 대한 사이버 보안을 유지하는 일을 ‘치명적인 바이러스와 싸우는 것’에 빗대 표현한다. 정보 유출로 인한 피해와 영향력을 최소화하기 위해 병원, IT 업체, 의료 기기 업체, 정부 등 공공 및 민간 이해 관계자 전부가 자원을 총동원하기 때문이다. 보고서는 의료 기관 당 평균 데이터 유출 비용이 220만 달러(약 24억 7200만 원)에 달한다고 전했다.
보고서는 사이버 보안과 관련된 주요 위협으로 ▲ 이메일 피싱 ▲ 랜섬웨어 공격 ▲ 의료 데이터, 장비 손실(혹은 해킹) ▲ 내부자 실수로 인한 데이터 손실 ▲ 디지털 의료 기기로 인한 피해 등 5가지를 꼽았다.
각 위협 요인마다 사이버 테러로 인해 발생 가능한 시나리오 상황, 그에 따른 피해, 대처법 등이 수록됐다.
시카고 의과 대학 소속 에릭 데커 정보 보안 및 프라이버시 책임자는 “보건 당국은 이번 작업을 통해 의료 제공자가 신종 사이버 위협에 대처하기 위해 실질적인 조언이 필요하다는 사실을 명확히 전달받았다”고 말했다.
미국 보건복지부 관계자는 “사이버 보안 문제는 당국의 최우선 과제”라며 이를 해결하기 위한 민간 부문과의 협력을 강조했다. 당국은 향후 몇 달간 보건의료 산업계 전반에 이번 사이버 보안 지침이 적용되도록 출판 등 관련 작업을 진행할 예정이다.
