'디지털 데이터 인질극' 랜섬웨어 공격, 의료기관 노리는 이유

[라포르시안] 의료 분야에서 디지털화가 가속화하면서 의료정보 공유도 활발해지는 가운데 의료정보 해킹을 통한 개인건강기록 유출에 대한 우려도 커지고 있다.

특히 최근 들어서는 금전적 이익을 노리고 랜섬웨어, 악성코드 감염을 이용한 병원 의료기록과 개인 건강정보를 노린 사이버 침해사고가 증가하고 있어 의료기관의 주의가 요구된다.

6일 보건복지부에 따르면 2020년 2월 28일부터 의료인 또는 의료기관의 개설자에게 전자의무기록 사이버 침해사고에 대한 통지 의무화가 시행된 이후 올해 7월까지 진료정보침해대응센터에 신고된 침해사고는 총 24건에 달한다.

요양기관별로 사이버 침해사고 신고 건수를 보면 의원급 의료기관이 7건으로 가장 많았다. 다음으로 병원급 5건, 종합병원 4건, 상급종합병원과 요양병원 각각 3건, 치과병원과 한방병원 각각 1건 순이었다.

침해사고 유행별로 보면 랜섬웨어 공격이 21건으로 대다수를 차지했다. 이밖에 분산 서비스 거부(ddos) 공격 1건, 기타 2건이었다.

최근 들어서는 '코로나19' 키워드를 사칭한 악성 메일을 발송하거나 관련 정보를 제공하는 것처럼 꾸민 피싱사이트까지 제작하는 등 사이버침해 공격이 끊이질 않고 있다.

복지부가 공개한 의료기관 진료정보 침해 사고 사례를 보면 A의원은 백신도 설치하지 않고, 비밀번호도 '1'로 설정해 주로 이메일 첨부파일을 통해 침투하는 랜섬웨어에 일부 자료가 감염된 사실을 뒤늦게 확인했다. 그러나 이후에도 인터넷 차단 등 초기 대응 조치를 하지 않고 공격자와 협상하는 사이 공격자가 전체 자료를 암호화하는 피해를 입었다.

B병원은 2015년에 발견된 보안취약점에 대한 보안업데이트도 불가능한 구형 장비를 사용하다 해당 취약점을 통해 관리자 권한이 탈취당하면서 진료정보 침해사고가 발생했다.

이처럼 의료기관을 대상으로 사이버 침해사고 증가하는 이유는 의료기관의 의무기록이 종이에서 전자건강기록(EHR)으로 전환하고, 느슨한 사이버 보안표준, 암시장에서 높은 값으로 거래되는 의료기록 등이 주요으로 작용하고 있다.

미국 연방수사국(FBI)에 따르면 개인 건강정보가 보험상품이나 진료 위치 추적, 처방 의약품 시장 현황, 주요 질병 발생 추이 등을 파악할 수 있는 자료란 점에서 개인 의료기록만을 취급하는 사이버 암시장에서 높은 가격이 책정돼 거래되는 것으로 알려졌다.

특히 병원 컴퓨터가 랜섬웨어 공격의 주요 대상이 되는 건 일부 보안이 취약한 측면도 있지만 무엇보다 상당히 민감한 환자 진료정보라는 점과 그 정보를 최대한 빨리 복구해야 한다는 시급성 때문이다. 이런 이유로 랜섬웨어 공격을 받게되면 암호화 된 파일을 푸는데 비용을 지불할 가능성이 높다는 점에서 의료기관을 대상으로 한 사이버 침해사고가 증가하고 있다.

의료기관을 노린 사이버 침해사고에 대응하기 위해 복지부는 올해 2월 말부터 한국사회보장정보원과 공동으로 의료기관 진료정보 침해사고 발생 시 신고접수, 사고대응, 및 침해사고 예방 등을 위한 '진료정보침해대응센터' 운영에 들어갔다. <관련 기사: 랜섬웨어 등 병의원 노린 사이버 공격 늘어...복지부, 대응센터 운영>

진료정보침해대응센터는 침해사고가 발생한 의료기관에 대해서는 사고 대응 및 복구를 통해 피해 최소화를 지원하고, 의료기관 홈페이지에 악성코드 및 위.변조 삽입 여부 등을 탐지할 수 있는 시스템을 구축해 서비스를 무상으로 제공한다. 이 서비스를 희망하는 의료기관은 진료정보침해대응센터 누리집(www.khcert.or.kr)으로 신청할 수 있다.

진료정보침해대응센터는 백신 접종 위탁의원 약 1,300여개소에 랜섬웨어 탐지 프로그램도 무상 제공(기관당 PC5대)하고, 랜섬웨어 모니터링 서비스도 지원하고 있다. 아직 설치하지 않은 의원은 코로나19백신접종시스템(질병보건통함관리시스템) 팝업을 클릭해 설치하면 된다.

진료정보침해대응센터는 최근 '의료분야 랜섬웨어 예방.대응 안내서'를 제작해 배포했다.

센터는 "병?의원급 의료기관에서는 방화벽 등 보안장비를 운용하고 있지 않은 곳이 많아 랜섬웨어 감염에 취약할 수 있다"며 "특히 영상판독(X-ray, CT, MRI 등)을 위해 외부 영상의학과 전문의에게 원격 판독을 의뢰하는 경우가 많아 접속하는 원격 단말기가 악성코드에 감염돼 노출될 수 있다"고 경고했다.

랜섬웨어 감염시 대가를 지불하지 않고 원상복구할 수 있는 유일한 방법은 데이터 백업이다.

센터는 "의료기관에서는 EMR, PACS 등 진료정보를 기록.보관.관리하는 정보시스템에 대한 일.주.월.년 단위 백업 정책수립이 필요하다"며 "상급종합, 종합병원 등 대형병원 내부에 1차적으로 자체백업시스템(NAS 또는 테이프 방식)을 구축해 진료정보를 안전하게 보호할 필요가 있으며, 병.의원, 한의원 등 소형병원의 경우 백업시스템 도입시 예산투자에 어려움을 고려해 1차적으로 외장HDD(USB도 가능)를 활용할 필요가 있다"고 설명했다.

센터가 제안하는 의료기관 랜섬웨어 예방수칙은 ▲백신 소프트웨어 설치 및 최신 업데이트 ▲외부에서 내부 서버?PC로 원격접근 금지 ▲EMR, PACS, OCS 등 모든 진료정보 매일매일 백업 ▲출처가 불분명한 이메일, URL링크 열람금지 ▲Windows 10 등 모든 소프트웨어 최신 업데이트 ▲내부 파일공유(SMB) 금지 및 외부 공유사이트 접근시 주의 등이다.

<저작권자 Copyright ⓒ 라포르시안 무단전재 및 재배포금지>