복지부, 의료기관 해킹 남의 일(?)
권미혁 의원, 의료기관 해킹 보고 의무 없어 5년간 13건 불과 지적
신형주 기자 기사입력  2017/10/10 [14:40]
트위터 페이스북 카카오톡 필자의 다른기사 보기 인쇄하기 메일로 보내기 글자 크게 글자 작게
【후생신보】세계적으로 해킹으로 인한 피해가 급증하고 있는 가운데, 일선 의료기관에 대한 복지부의 해킹 현황파악·관리감독이 허술한 것으로 나타났다.

한국인터넷진흥원이 권미혁 의원에게 제출한 자료에 따르면, 2013년부터 최근 5년간 의원급 의료기관에 대한 해킹은 13건에 불과하다.

하지만 의료기관은 해킹피해 발생시 복지부 및 한국인터넷진흥원에 보고해야 할 의무대상에서 제외돼 실제 해킹 피해는 이보다 훨씬 많을 것으로 보인다.

그럼에도 복지부는 해킹피해 담당은 한국인터넷진흥원이라는 이유로 일선 기관에 해킹관련 교육·피해의무보고 등의 조치를 취하지 않고 있다.

보건복지부가 권미혁 의원에게 제출한 자료에 따르면, 의료기관 해킹 감독을 담당하는 정보화담당관실은 복지부 산하 유관기관에 한정, 해킹 예방교육·관제를 실시하고 있을 뿐, 일선 의료기관에는 30p 분량의 총론적인 정보보호 지침서만 하달한 것으로 나타났다.

입법조사처 조사자료에 따르면, 미국은 2015년 기준으로 핵심 인프라 중 의료기관에 대한 공격이 전체 21%였으며, 일별 1,000건에 달하는 해킹 공격을 받고 있으며, 2016년에는 그 건수가 4,000건에 이르는 날도 있는 것으로 나타났다.

이에 미국 보건복지부는 랜섬웨어 등 해킹 예방 및 대처방안 홍보를 위해 Ransomware and HIPPA 지침서를 발간, 일선 병원에 배포했으며, 랜섬웨어 공격시 보건복지부에 반드시 보고하도록 지침을 개정했다.
이 보고서는 악성소프트웨어 감지절차·예방·공격 후 회복절차 등에 대한 행동요령을 담고 있다.
 
반면, 한국의 보건복지부가 2016년 각 의료기관에 배포한 지침서 병원급(147p)과 의원급(30p)로 나눠져 있는데, 정보보호에 대한 총괄적인 지침서이기 때문에 해킹 피해시 대응요령·사후대책 등에 대한 부분은 제외돼 있다.

미국은 랜섬웨어 관련 해킹에 대한 매뉴얼을 따로 배포해 일선 기관에서 대응이 가능한 반면, 한국은 정보보호 지침서만으로는 일선기관이 해킹에 대응하기 어려운 실정이다.
또한, 인터넷진흥원에 신고된 대부분의 의료기관이 의원급이고, 실제 해킹위험에 상대적으로 노출돼 있음에도 지침서가 상대적으로 부실하게 구성돼 있다.

권미혁 의원은 “2015년 북한의 대학병원 전산망 장악·2016년 병원 개인정보를 해킹해 커플앱 계정에 침입한 사건 등 의료기관 해킹사례가 급증했음에도 복지부가 개인정보보호에 안일하게 대처하고 있으며, 관련 현황조차 제대로 파악되지 않고 있다. 랜섬웨어 등 해킹 예방·대응 등에 대한 구체적 행동요령을 담은 지침서를 만들어 배포함과 동시에 해킹 시 복지부가 현황을 보고받고 피해상황을 확인하도록 하는 등 제도 정비가 필요하다”고 밝혔다.
필자의 다른기사메일로 보내기인쇄하기 무단전재 및 재배포 금지. ⓒ 후생신보
닉네임 패스워드 도배방지 숫자 입력
제목  
내용
기사 내용과 관련이 없는 글, 욕설을 사용하는 등 타인의 명예를 훼손하는 글은 관리자에 의해 예고 없이 임의 삭제될 수 있으므로 주의하시기 바랍니다.
 
광고
광고
광고
광고
광고
광고
광고
광고