• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

병원에서의 보안 사고, 규모와 유형보다 이후 대처가 문제다 2018.03.29

심근경색증 환자의 사망률, 보안 사고 후 유의미하게 올라
규모나 유형과는 상관없어...병원의 대처 전략이 생명 좌지우지

[보안뉴스 문가용 기자] 병원 기록에 대한 사적인 정보 유출이 심각한 문제로 대두되고 있다. 그런데도 환자의 생명이 걸려 있어 제대로 대처할 수 없는 것이 현실이라고 한다. 최근 밴더빌트대학교(Vanderbilt University)의 최성(Sung Choi) 박사가 연구 및 발표한 자료에 의하면 유출 사고의 유형과 규모는 환자에게 큰 충격을 주진 않지만 병원의 대응 방식 때문에 오히려 환자에게 심각한 피해가 간다고 한다.

[이미지 = iclickart]


최성 박사는 이번 연구를 위해 여느 보안 전문가들에게 열려 있는 데이터들을 분석했다고 한다. 그것은 바로 심근경색증에 의한 사망률로 “심장 문제로 병원 문을 열고 들어온 환자들 중 30일이 지나도록 살아 있는 사람의 수”라고 그는 설명한다. 30일 단위를 선택한 건, “데이터를 구하기 쉬워서”였고, 이미 많은 연구 및 분석 자료들이 존재해 심층 비교가 가능했기 때문이라고 한다.

또한 이 30일 주기 사망률을 봄으로써 병원의 성과와 실적 등도 추적하는 게 가능하다고 최성 박사는 덧붙였다. 그런데 이 부분에서 흥미로운 점을 발견했다고 그는 설명한다. “30일 이후의 사망률이 지난 5년 동안 꽤나 일정하게 떨어지고 있었습니다. 좋은 소식이죠. 그만큼 환자들이 오래 산다는 얘기니까요. 하지만 분석을 더 해보니 침해사고 발생 이후 사망률이 0.34%p~0.45%p 정도 오른다는 것을 알 수 있었습니다.”

최성 박사의 연구 결과는 컴퓨터 보안의 관점에서 매우 흥미롭다. 그의 보고서를 보면 “데이터 유출 사고와 심근경색증 사망률 사이에 관계가 있다”고 나오는데, “유출 사고의 규모와 사망률의 증가폭 사이에는 별 다른 관계성이 없어 보인다”고도 적혀있기 때문이다. 즉 1천 건이 유출되든 50만 건이 유출되든 사망률 자체를 유의미하게 바꾸지는 못한다는 것이다.

흥미로운 지점은 또 있다. 논문의 일부를 발췌해본다. “유출 사고와 심근경색증 사망률 사이의 관계는 유출 사고의 유형에 영향을 받지 않습니다.” 보안 사고의 형태가 무엇이든 사망률을 의미 있게 높이거나 낮추지 않는다는 것인데, 여기에는 맹점이 있다. 최성 박사가 수집한 데이터가 2015년의 것으로, 랜섬웨어가 사회적 이슈로 떠오르기 전의 것이기 때문이다.

하지만 최성 박사는 “사고 유형과 사망률 사이에 큰 연관성이 없다”는 것과 “사고 규모가 사망률에 지대한 영향을 끼치지 못한다”는 것에 대해 다음과 같이 분석하고 있다. “유출 사고가 환자에 즉각 영향을 끼치는 건 아니라는 걸 알 수 있습니다. 오히려 유출 사고가 발생한 후 일어나는 일들이 환자에게 더 직접적으로 영향을 미친다고 보는 것이 타당합니다.”

최성 박사가 말하는 ‘유출 사고 발생 후 일어나는 일’이란 곧 ‘유출 사고에 대응하는 병원의 방식’을 말한다. “보안 사고가 발생하고 나면 병원은 대부분 새로운 접근 통제 장치나 인증 기술을 도입하고, 새로운 프로토콜을 결정하며, 새로운 소프트웨어를 사서 피해가 다시 발생하는 것을 막습니다. 그런데 새로운 것들이 갑자기 늘어나면 구성원들이 이전과 똑같은 퍼포먼스를 낼 수가 없죠. 어느 정도는 적응 기간이 필요합니다.”

그리고 바로 이 적응 기간 혹은 ‘이전과 같은 퍼포먼스를 낼 수 없는’ 기간이 환자에게 치명적으로 작용할 수 있다고 최성 박사는 지적한다. “의료진들에게 정보가 평소보다 늦게 전달된다거나, 부정확하게 이동될 수도 있고, 이를 열람하거나 활용하는 부분에서도 평소와 다른 모습이 나타날 수 있습니다. 이러한 ‘낯선 시스템 도입’ 문제 때문에 1천명의 심장 질환 환자 중 34~45명이 더 사망한다고 제 연구 결과는 말해줍니다.”

그러므로 병원은 ‘2차 사고 방지’에만 목적을 두고 IT 시스템이나 보안 시스템을 새로 도입해서는 안 된다고 강조한다. “데이터 보안을 향상시키는 것도 좋지만 진료에 얼마나 방해가 되느냐도 고려해야 합니다. 균형 잡힌 전략을 세워야 한다는 것이죠. 도입 시간을 조금 더 연장시킨다든가, 시범 사용 기간을 갖는 것도 – 그것이 계속 연장되지만 않는다면 – 한 방법이 될 수 있습니다. 요는, 보안만을 위한 보안이 오히려 환자를 위험하게 할 수 있다는 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>