지난 3월 주요 의료정보학회의 하나인 HIMSS 2017에서는 랜섬웨어가 주요화두였다. 랜섬웨어는 랜섬(Ransome, 인질)+웨어(소프트웨어)의 합성어로, 기업이나 개인의 데이터(파일, DB)를 가로채 이를 미끼로 금품을 요구하는 해킹수법이다.

보안업계는 랜섬웨어 해킹시장이 무려 1조원에 달하고 있다는 것과 의료기관을 목표로 삼고 있다는 점에 주목하고 있다. 지난해 미국에서 일어난 랜섬웨어 해킹의 88%가 의료기관을 대상으로 했다. 실제로 지난해 4월 미국에서 헨더슨감리병원, 치노밸리의료센터, 데저트밸리병원 등 대형병원 3곳이 랜섬웨어에 당했다.

© News1 이은주 디자이너

병원시스템이 랜섬웨어의 공격대상이 되고 있는 이유는 저장된 정보가 가치있고, 보안시스템 업데이트가 느리다는 점 때문이다. 병원시스템의 보안 문제는 병원내 시스템만의 문제가 아니라 병원정보시스템과 연결되는 수많은 의료기기들도 함께 위험에 빠질 수 있다. 보안이 취약한 의료기기를 통해 병원시스템 침투에 용이하다는 얘기도 된다.렌섬웨어의 유포는 주로 메일, 신뢰할 수 없는 웹사이트, 파일공유 사이트, 스마트폰 가짜앱 등을 이용하고 있다. 특히 스팸메일이나 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱 공격)은 랜섬웨어의 주요 유포수단이 되고 있다.

이러한 사이버공격을 막기 위해 마련된 가이드라인(표준)은 마련돼 있다. IEC 80001 시리즈는 의료정보시스템과 연결되는 의료기기에 대한 유효성, 안전성, 보안과 관련된 위험관리를 다루는 표준으로 2010년에 제정됐다. 미국, 유럽에서는 의료기기 인증시 필요한 위험관리 영역에 적극 활용하고 있다.

이는 글로벌 수출제품의 경쟁력과도 직결될 수 있는 부분이다. 최근 식품의약품안전처에서는 의료기기의 안전성을 위하여 관련 표준의 국내 부합화에 나서 보급을 장려하고 있다. 그리고 정보통신산업진흥원(NIPA)에서도 의료기기분야 소프트웨어의 안전성 및 유효성확보를 위한 가이드 용역개발 나섰다고 한다. 이에 대해 적극적인 홍보 및 의료기기 및 시스템 관련 기업들의 인식도 바뀌어야 할 것이다.

해외와 달리 국내에서 의료보안에 대한 인식이 저조한 이유는 의료기기 분야의 소프트웨어 및 보안 전문가가 거의 없기 때문이다. 정보통신기술(ICT) 우수인력이 이제 바이오 헬스케어에 관심을 기울여야 할 때다. 바이오헬스케어 분야가 미래 성장산업이고, ICT와 접목되고 있다는 사실을 모르는 사람은 많지 않다. 하지만 ICT를 바이오 헬스케어 분야의 특성을 이해하고 ICT를 접목하려는 사람 역시 많지 않다.

보안은 어렵다면 어렵다. 중요한 것은 우리가 가진 것을 지키려면 관심이 필요하다. 보안전문가가 모든 것을 지켜줄 수는 없다. 이메일이 해킹 통로로 주로 활용되고 있다는 사실이 사용자의 보안의식이 얼마나 중요한지를 말해주고 있다. 세계적으로 보안의 특허 상황을 보면 미국이 거의 절반을 차지하고 있고 국내는 몇몇 대기업만 갖고 있다.

보안은 미래를 위한 투자다. 병원정보시스템이 편해진 만큼 보안에 대한 투자도 늘려서 헬스케어 강국을 향한 발걸음을 재촉해야 할 때다.


BIO@