[디지털데일리 최민지기자] 최근 통신·금융 등에서 연이어 해킹사태가 터지면서, 전 산업에 사이버보안 경보등이 울리고 있다. 이러한 가운데, 생명을 다루는 ‘병원’ 쪽 보안 강화가 필요하다는 보안업계 진단이 이어지고 있다.

지난 17일부터 19일까지 서울 코엑스에서 열리는 ‘국제 병원 및 헬스테크 박람회(KHF) 2025’ 부대행사 ‘HIS-CON 2025’ 컨퍼런스에서 스플렁크(시스코)는 국내 병원 대상 사이버공격이 연간 84% 증가했다고 밝혔다. 대학병원부터 소규모 병원까지 위협이 확대되는 상황이다.

국내뿐 아니라 전세계 의료기관 역시 사이버위협에 직면한 상태다. 글로벌 의료기관 67%가 랜섬웨어 공격을 경험했고, 평균 복구 비용은 980만달러(한화 약 136억7000만원)에 달한다.

병원은 환자 생명과 직결한다. 이에 신속하게 시스템을 복구해야 하는 만큼, 높은 비용이라도 지불할 수밖에 없는 처지다. 이에 사이버범죄 시장에서 환자 기록은 일반 개인정보에 비해 10~20배가량 비싸게 팔리고 있다.

실제, 의료기관이 랜섬웨어 등 사이버공격을 당한 사례들도 종종 볼 수 있다. 미국 최대 비영리 카톨릭병원은 지난해 4월 랜섬웨어 공격을 당해, 미 전역 120여개 병원 네트워크가 마비됐다. 환자 자료를 인쇄물로 출력해 수술을 진행해야만 하는 비상상황을 겪었다.

지난해 6월 영국 국민보건서비스(NHS)도 대규모 사이버공격에 당했다. 이로 인해 영국 런던 내 주요 병원 시스템이 중단됐고, 혈액검사 지연으로 한 환자는 사망했다.

경찰청 국가수사본부 이주영 경위는 “병원(의료기관)이 사이버공격을 당하게 되면, 환자들 소송에 따른 법적 책임 문제가 이어지고 언론 보도 등으로 병원 이미지 손상도 피할 수 없다”며 “짧은 기간 내 피해 시스템과 현황을 정부 기관에 제출해야 하는 어려움도 겪게 된다”고 말했다.

이주영 경위는 “실제 공격 발생 사례들을 보면, 공격자들은 공개된 취약점을 주로 이용하고 있다”며 “알려진 취약점에 대응만 하더라도 피해를 줄일 수 있다”고 강조했다.

최근 벌어진 대형 사이버보안 사고 대부분 알려진 취약점에 대응하지 못한 점이 피해를 키웠다.

개인정보보호위원회 조사결과에 따르면 SK텔레콤 유심해킹 사건 경우, 악성프로그램 설치에 활용한 보안 취약점은 이미 9년 전 알려졌고 보안패치도 공개된 상황이었다. 롯데카드 카드정보 유출 사건도 마찬가지로, 8년 전 공개된 취약점으로 해킹을 당했다는 지적을 받고 있다.

이 경위는 “알려진 취약점에 대응해 업데이트된 보안패치만 주기적으로 진행한다면, 공격자 타깃이 되지 않을 수 있다”며 “공격자들은 보안패치가 안 된 다른 타깃을 찾아 공격하는 편이 수월하기 때문”이라고 덧붙였다.

이어 “사용자 보안인식도 제고돼야 한다”며 “환자 모니터링을 편하게 하기 위해 IP카메라를 내부망과 인터넷 연결해 사용한 사례가 있었다. 내부망을 인터넷으로 연결해버리니, 공격자가 랜섬웨어 파일을 PC에 심기 수월했다”고 부연했다.

보안업계에선 사이버위협에 대응해 기본적인 보안활동을 준수해야 한다고 말하고 있다. 계정 비밀번호 관리와 함께 서버와 PC를 방치해서는 안 된다. 공격자들의 침입 통로로 이용되기 때문이다. 또한 주요 민감 정보 등은 암호화를 반드시 해야 하고, 자산을 식별하고 가시성을 높여 공격자가 노릴만한 경로를 차단해야 한다.

나아가 제로트러스트 또는 통합적 보안 정책을 구현해, 규제와 단일 솔루션 중심의 수동적 대응에서 벗어나야 한다는 설명이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -