"3년반 동안 의료기관서 해킹 등 사이버 침해사고 74건 발생"

김영주 의원 "정부 보안관제 서비스 가입률 낮아…의무화 필요"

최근 3년반 동안 의료기관에서 발생한 해킹 등 사이버 침해사고가 74건이나 되는 것으로 나타났다.

14일 국회 보건복지위원회 김영주 의원(더불어민주당)이 보건복지부, 한국사회보장정보원, 한국인터넷진흥원, 교육부로부터 받은 자료에 따르면 지난 2020년 2월~지난 7월 상급병원 4건, 종합병원 13건, 일반병원 22건, 의원 35건 등의 사이버 침해사고가 발생했다.

사이버 침해사고는 랜섬웨어 공격, 분산서비스거부(DDoS·디도스) 공격, 해킹 등을 통한 정보시스템 공격을 뜻한다.

2020년(2월 이후) 13건, 2021년 21건, 2022년 23건, 올해 7월까지 17건 등으로 매년 증가하는 추세다.

지역별로는 서울 26건(35.1%), 경기 12건(16.2%) 등 수도권 발생이 많았고, 광주와 경남에서 각 6건, 부산에서 5건이 발생했다.

2020년 9월 원광대학교 병원은 디도스 공격을 받았고 서울대병원은 2021년 7월과 2022년 7월 각각 랜섬웨어 공격을 당했다.

작년 2월에는 대전을지병원이 랜섬웨어 공격을 받았고, 지난달에는 이대서울병원 서버가 랜섬웨어에 감염돼 일부 환자 개인정보가 유출되기도 했다.

악성코드를 심은 뒤 금전을 요구하는 랜섬웨어 공격이 대부분(68건)이었는데, A종합병원은 4천500만원을 주고 랜섬웨어로 암호화된 환자 진료정보를 복구했고, B의원은 3천300만원을 내고 복구업체를 통해 해커와 협상한 뒤 상황을 마무리 짓기도 했다.

복구 비용으로 1천500달러(약 200만원)를 주거나 비트코인을 지불한 곳도 있었다.

김 의원은 "국내 의료기관들이 의료정보보호센터 보안관제 서비스에 가입하지 않고 있기 때문에 사이버 침해사고를 당한 것"이라고 설명했다.

복지부 산하 한국사회보장정보원은 의료법에 근거해 의료기관의 사이버 침해사고를 예방하는 보안관제 서비스를 운영하고 있다.

상급병원 45곳 중 이 서비스에 가입한 곳은 15곳으로, 교육부가 운영하는 보안서비스에 가입한 12개 의료기관을 제외하면 18곳(40%)이 사이버 침해사고 위험에 노출돼 있었다.

전국 267개 종합병원 중 정보원의 서비스에 가입한 곳은 19개(7.1%)에 불과했다.

김 의원은 "서비스 가입률이 낮은 것은 서비스 가입이 의무화되지 않았고 연간 지불해야 하는 비용에 부담을 느끼는 데다, 서비스 가입을 위해서는 전산인력을 충원해야 하기 때문"이라며 "관련법 개정을 통해 일정 수준 이상의 의료기관이 보안관제 서비스를 가입하도록 의무화해야 한다"고 주장했다.

/연합뉴스