데이터 프라이버시라는 굴레에서 벗어날 수 있는 조직은 단 하나도 없다. 의료 분야에 올인하고 있는 병원들도 마찬가지다. 그 어떤 조직보다 많은 공격을 받고 있으니만큼 병원들은 이제 의학 전문 조직과 데이터 프라이버시 전문 조직이라는 이중 정체성 속에서 살아가야 한다.

[보안뉴스 = 스콧 알렌데보 수석 연구 책임] 병원들이 공격자들의 집중포화를 받고 있다. 그러면서 가장 민감한 정보들이 악의를 가진 사람들의 손으로 넘어가고 있으며, 병원들은 속수무책으로 당하는 중이다. 다행히 병원들의 이러한 사정을 알아챈 입법자들이 각종 규제들을 만들어 적용하고 있어 병원들도 가만히 있을 수만은 없게 됐다. 해커만큼 벌금도 무서워지는 시대가 되고 있으니 말이다. 하지만 데이터 보호를 단순히 벌금 내기 싫어서 하는 것으로 해서는 안 될 것이다. 환자를 치료하는 것이나 환자의 데이터를 보호하는 것이나 의료 시설에서 한 가지로 여겨야 할 일이다.


디지털 시대에는 그 어떤 활동이라고 하더라도 디지털 발자국이라는 걸 남길 수밖에 없게 된다. 우리가 했던 행위, 우리가 갔던 곳, 우리가 있었던 곳, 우리가 조우했던 모든 상황이 기록으로 남고, 그것은 흔적이 된다. 당연하지만 우리가 갔던 병원에서 우리가 받았던 치료와 우리가 먹었던 약, 우리가 만났던 의사, 그들의 판단과 우리의 병명까지도 모두 디지털 발자국이 된다. 이것은 매우 민감한 데이터이기도 하다.

최근 공격자들은 너도 나도 각종 데이터를 수거하기에 바쁘고, 따라서 매우 민감한 데이터를 다량으로 보유하고 있는 의료 업계는 이들에게 풍부한 광산이나 다름이 없다. 병원에서 훔친 여러 종류의 데이터를 가지고 공격자들은 누군가를 사칭하거나 정교한 피싱 공격을 감행하여 추가 공격을 실시할 수 있게 되고, 더 많은 정보를 훔칠 수 있게 된다. 심지어 금전적 피해를 입히는 것도 식은 죽 먹기가 된다.

그래서 지금 병원들은 어떤 상태인가? 각종 사이버 범죄자들이 찔러보는 대상이 됐다. 88%의 의료 업계 조직들이 사이버 공격을 경험해 봤다고 하며, 미국인들 중 약 10%가 개인 의료 정보 침해를 경험한 바 있다고 한다. 실제로 우리는 여러 사이버 공격 때문에 병원이 마비되어 환자를 다른 병원에 넘기거나 종이와 연필을 가지고 진료 행위를 이어간다는 소식을 수도 없이 들어왔다.

매우 위험한 흐름
병원들은 한 번 사이버 공격에 노출될 때마다 500만 달러에 가까운 손해를 보는 것으로 현재 추정되고 있다. 당연히 여기에는 각종 벌금도 포함되어 있다. 하지만 의료 기관으로서의 신뢰도 하락이나 브랜드 가치 하락과 같은 무형의 손해는 포함되어 있지 않다. 집단 고소가 이어질 경우도 포함되어 있지 않은데, 최근 소비자들이나 환자들은 개인정보에 매우 민감하기 때문에 사실 법정 싸움도 이제는 당연시 해야 할 것이다.

최근 의료 업계는 각종 디지털 장비들의 발전이라는 측면에서 여러 성과를 거두는 중이다. 치료 행위의 효과가 극대화 되고 있고, 이는 환자들의 생명과 안녕에 긍정적인 영향을 미친다. 하지만 동시에 이 장비들을 통한 공격도 증가하고 있으며, 따라서 개인정보와 데이터라는 측면에 있어서는 오히려 이런 장비들이 더 큰 위험의 계기가 되는 중이다. 병원이라는 곳 자체가 가뜩이나 해커들의 높은 관심을 사고 있는데 안전하지 못한 장비들까지 대거 편입되고 있으니 상황이 점점 악화되고 있는 것이나 다름이 없다. 의료 기술은 발전하는데, 동시에 보안 수준은 떨어지고 있으니 아이러니한 상황이다.

보안 업계의 전문가들에게는 익숙한 현상이다. 디지털 기술이 확산되고 다양해짐에 따라 위험 역시 오히려 증가하는 것 말이다. 병원 네트워크 및 시설 담당자들도 이제는 이를 이해해야 하고, 사이버 범죄자들이 쾌재를 부르고 있다는 것을 직접적으로 느낄 수 있어야 한다. 지금 우리는 보안이라는 측면에서 악몽과 같은 시기를 지나고 있다.

환자의 정보, 어떻게 보호해야 하는가
이런 상황을 개선시키려면 먼저 병원의 시설 및 네트워크 관리자들은 병원 망 내 존재하는 모든 취약점들을 파악하는 작업부터 실시해야 한다. 의사들 개개인이 사용하는 장비들은 물론 간호사들의 스테이션 장비들과 네트워크, 각종 서드파티 계약자들의 현황과 의료 장비, 그런 장비들 속에 존재하는 데이터들 등 모든 디지털 자산이 어떤 식의 공격에 노출되어 있는지 확인하는 것이 보호의 첫 걸음이다.

동시에 병원 내에 보안 문화를 정착시키는 것이 필수다. 의사들과 간호사들은 의료 행위라는, 어렵고 전문적인 영역에 집중하느라 보안에 대해 깊이 고려할 수 없다. 하지만 이건 구식 근무 태도다. 환자의 건강이 중요하고 치료 방법 하나 더 알아가는 게 중요한 만큼 그 환자의 데이터를 안전하게 지켜주는 것도 의료진의 할 일이라고 받아들이는 게 최신식 프로페셔널리즘인 것이다. 환자 데이터가 환자 그 자체임을 의료진들에게 심어주고 또 심어주는 게 반드시 실행되어야 한다.

보안 강화와 교육이라는 두 마리 토끼를 다 잡으려면 주기적으로 병원 네트워크와 장비들을 대상으로 취약점 스캔과 모의 해킹 훈련을 실시하는 게 좋다. 특히 피싱 시뮬레이션 등을 통해 의료진들이 실제 공격과 비슷한 상황에서 얼마나 버티거나 얼마나 당하는지를 파악하고 이를 당사자들에게 알리면 어느 정도의 충격 효과를 거둘 수 있다. 이 때 어떤 규모의 피해가 예상되는지까지 설명하면 충격을 배가시킬 수 있다.

병원은 이제 잦은 사이버 공격에 노출되는 곳이 아니다. 오히려 데이터 프라이버시의 최전선이다. 병원은 인류를 괴롭히는 각종 질병들을 제일 먼저 찾아내는 건강의 최전선이기도 하지만, 이제 데이터 프라이버시라는 새로운 영역에서까지 최전선 역할을 담당해야 한다. 싫든 좋든, 그것이 병원이 처한 현실이다.

글 : 스콧 알렌데보(Scott Allendevaux), 수석 연구 책임, Allendevaux and Company
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>