병원의 사이버 보안 예산, 전체 IT 예산의 6%에 불과
보안 전문가들, 병원을 근무처로서 선호하지 않아...환자들이 위험하다

[보안뉴스 문가용 기자] 병원 IT 예산의 단 6%만이 사이버 보안에 할당된다는 게 보안업체 시만텍의 조사결과다. 의료 업계의 보안 수준이 다른 산업의 그것보다 뒤처지는 데에는 이유가 있다. 의료 산업의 정보 보안이 미진할수록 환자의 정보는 위험에 처하게 된다. 풍부한 먹잇감에 낮은 경계 수준. 병원들이 해커들의 차세대 전쟁터로 꼽히는 이유다.


인색한 예산도 예산이지만 병원들은 제대로 된 보안 전문가를 구하는 것조차 힘들어 한다. 보안 전문가들 사이에는 ‘이왕이면 금융권이나 에너지 산업에서 일한다’는 선호도가 있기 때문이다. 병원은 보안 전문가들이 선호하는 근무처가 아니다. 의료 산업에서 보안을 강화한다는 건 매우 어려운 일로, 어지간해서는 성공하기가 힘든 것도 사실이다.

의료산업은 복잡한 구조로 형성되어 있다. 환자의 정보를 보다 효율적으로 공유하기 위해 온갖 시스템과 기술이 자유롭게 탄생했는데, 태생이 다른 것들이 억지로 연결되어 있기까지 하다. 그런 불안전한 구조 속에서 민감한 정보들이 흐른다. 물론 의료 행위를 위해서는 지금의 시스템이 괜찮은 기능을 발휘한다고 볼 수 있다. 하지만 정보 보안의 관점에서는 정반대다. 정보보안 담당자가 되어봐야 의사들을 설득할 수가 없다.

상황은 이런데 의료 기록들은 대단히 귀중한 정보가 된다. 이걸 가지고 해커들은 사기도 칠 수 있고, 특정 약물을 손에 넣을 수도 있으며, 보험 상품도 가입하고, 누군가를 추적할 수도 있다. 실제 암시장에서 의료 정보는 그 어떤 개인정보보다 비싸게(건당 60달러) 팔린다. 그 다음으로 사회보장번호가 높은 가격에(건당 15달러) 거래되고, 신용카드 정보는 1~3달러에 그친다.

그렇다면 의료 산업의 어느 부분이 그렇게 위태로운 걸까? 멀리 갈 것도 없다. 우리가 흔히 볼 수 있는 기기들에도 이런 것들이 있다. 심박조율기, 인슐린 주입기, 심장재세동기, 의약품 주입 펌프 등이 좋은 예다. 이런 기기들은 환자의 생명을 구하는 데 중요한 역할을 한다. 하지만 인터넷에 연결되어 있을 때, 다른 방면으로 생활을 위태롭게 만들 수도 있다.

심박조율기 등의 기기가 인터넷에 연결되어 있을 때 의료 서비스는 굉장히 편리해진다. 원격에서 환자 상태를 확인할 수도 있고, 그에 따라 의약 주입량 등을 미세하게 조정할 수도 있게 해준다. 환자를 위해서나 의료진을 위해서나 좋은 기능이 아닐 수 없다. 그러나 이 틈을 해커들도 파고들 수 있다. 병원 네트워크로 침입한 해커들이 기기로도 닿을 수 있고, 검색엔진을 통해 취약한 의료 기기를 곧바로 찾아낼 수도 있다. 공격은 쉬워지고, 방어는 여전히 허술하다.

이런 상황이 뜻하는 건 무엇일까? 환자의 생명이 위태롭다는 것이다. 이는 의료산업이 존재하는 이유와 정확하게 대치된다. 생명을 구하려는 기관이 생명을 위태롭게 한다니 말이다. 의사들이 주로 사용하는 컴퓨터 시스템에서 그들이 다루는 것과는 다른 차원의 생명의 기운들이 빠져나가고 있는 상황이다. 오진을 해도 환자를 잃을 수 있지만, 취약한 의료 장비를 통해서도 똑같은 결과가 나타날 수 있다는 걸 의료산업과 그리로 가지 않으려는 보안 전문가들은 깨달아야 한다.

의료장비 해킹으로 인한 ‘죽음’이 지나치게 극단적인 예라고 생각한다면, 금전적인 피해의 측면도 생각해볼 수 있다. 의사와 병원에는 ‘부자’라는 이미지가 덧입혀져 있는데, 사실 대부분의 병원들은 랜섬웨어 공격자들이 요구하는 큰 금액을 쉽게 낼 수 없다. 복구 금액조차도 부담스러운 상황이며, 다양한 규제를 위반했을 때 낼 벌금도 마찬가지로 커다란 압박감으로 다가온다. 그 모든 부담감이 해킹 한 번으로 부담금으로 변할 수 있다. 뿐만 아니라 한 번 해킹 당한 병원은 미래 환자들까지 잃어야 한다. 환자의 신뢰를 잃기 때문이다.

캘리포니아에 있는 성요셉병원의 경우 네트워크에 해커가 침투해 들어오는 일을 겪었다. 환자의 기록과 의료 이력이 전부 새나갔다. 이로 인해 집단소송이 걸렸고 합의금만 2천 8백만 달러가 나왔다. 여기에 아이덴티티 탈취와 관련된 보상으로 7백 5십만 달러를 더 내야했고, 보안 강화 비용으로 1천 3백 5십만 달러를 투자해야 했다.

해커의 침입을 단순히 ‘개인정보 유출’로만 생각한다면 오산이다. 해커는 멀리서 의약품 주입기의 버튼을 조작해 환자에게 쇼크를 일으킬 수도 있다. 심장박동기를 꺼버리거나 멈춰 세울 수도 있다. 혹은 심장이 지나치게 빨리 뛰게도 할 수 있다. 병원이기 때문에, 환자들이 아프기 때문에, 모든 가능성을 열어두고 생각해야 한다.

그렇다면 환자 입장에서 어떻게 해야 할까? 내 약한 심장을 뛰게 해줄 기기이지만 동시에 누군가의 손에 악의적으로 통제될 수도 있는 기기를, 어떤 기준으로 선택해야 할까? 이미 이 스트레스부터 환자에게 좋지 못하다. 이 고민은 병원과, 병원의 보안 담당자가 해줘야 한다.

그렇다고 환자 입장에서 손을 놓고 있으라는 말은 아니다. 환자로서, 혹은 소비자로서, 사이버 보안 문제에 대해 계속해서 목소리를 내야 한다. 그래야 변화가 일어난다. 사실 병원은, 보안 업계의 목소리보다 소비자의 목소리에 더 민감하게 반응한다. 그런 목소리를 가지고 있다면, 내야 한다.

보안 업계는 사이버 보안이 중요한 시대를 맞이해 사회에 진정한 가치를 실현하고자 한다. 그렇다면 생명을 살리는 일부터 시작하는 게 어떨까. 돈도 중요하고 에너지도 중요하지만, 생명이 꺼져간다면 다 무슨 소용이냐는 말이다. 병원은 보안의 관점에서 개척지이자 황야다. 때문에 족적을 남길 수 있고, 의미 있는 변화를 가져올 수 있다. 보안을 담당한다면, 사람의 생명부터 근본적으로 고민해야 할 때다.

글 : 안트와녜 포드(Antwanye Ford), Enlightened. Inc.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>