빈번히 일어나는 병원 정보 보안 침해 사건
3차 병원만 ISMS 인증 필수, 1차 2차 병원은 보안 취약
민감한 건강정보 취급하는데도 ISMS-P 의무 아닌 선택으로 남아있어
윤영덕 기자 오피니언
여의도소식 2022.10.20 09:27
페이지 정보
본문
국회 정무위원회 소속 더불어민주당 윤영덕 국회의원(광주 동구남구갑)은 보건복지부와 개인정보위원회로부터 받은 자료를 분석한 결과 민감정보를 취급하는 병원에서 정보 보안 침해 사고가 빈번하다는 점을 확인했다.
보건복지부로부터 받은 <의료기관 사이버 침해 사고> 자료에 의하면 진료정보침해대응센터(KHCERT) 구축 및 신고 의무화가 된 2020년 2월 28일 이후 3차 상급종합병원의 사이버 침해 사고는 2020년 1건, 2021년 1건, 2022년 상반기에도 1건, 총 3건이 있었고, 2차 종합병원은 총 10건, 1차 병원은 총 38건이 있었다.
침해사고 유형별로 보면 랜섬웨어가 가장 많았다. 보건복지부로부터 받은 <의료기관 사이버 침해사고 유형별 분류>를 보면 2020년 이후 3차 병원은 2건, 2차 병원 8건, 1차 병원은 35건이었다.
랜섬웨어란 사용자의 컴퓨터를 장악하거나 데이터를 암호화한 다음 정상적인 작동을 위한 대가로 금품을 요구하는 유형의 컴퓨터 바이러스를 말한다. 주로 사용자가 exe 파일을 설치하도록 유도하여 감염시킨다. 바이러스 의심이 되는 파일은 함부로 열어보지 않거나 악성 활동을 감지하는 백신을 통해서 차단해야 하는데, 이런 기본적인 방지책이 마련되지 않은 것으로 보인다.
의료법 제3조의5에 따른 상급종합병원은 정보통신망법 제49조제2항에 따라 정보 보안 수준을 평가받는 ISMS(정보보호관리체계 인증)을 받아야 한다. 의료기관은 민감정보를 다루고 있기 때문이다.
그런데 문제는 상급종합을 제외한 국내 대다수 병원과 의원급은 ISMS조차 인증을 받지 않아도 되는 사각지대로 남아있다는 점이다.
게다가 정보보안와 더불어 개인정보보호 수준을 평가받는 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증을 의무가 아니라 선택이라는 점도 문제된다. 개인정보 보호 측면이 강화된 ISMS-P 인증을 받은 곳은 삼성서울병원과 국립암센터 2곳 뿐이다.
더불어민주당 윤영덕 국회의원은 "병원에서 개인정보 유출 사고가 반복되고 있는데도, 정책대응이 이루어지고 있지 않다는 점이 문제"라고 지적하며 "민감정보를 취급하는 병원을 ISMS-P(개인정보보호관리체계 인증) 인증 필수 기관으로 지정해야 한다."고 말했다.
보건복지부로부터 받은 <의료기관 사이버 침해 사고> 자료에 의하면 진료정보침해대응센터(KHCERT) 구축 및 신고 의무화가 된 2020년 2월 28일 이후 3차 상급종합병원의 사이버 침해 사고는 2020년 1건, 2021년 1건, 2022년 상반기에도 1건, 총 3건이 있었고, 2차 종합병원은 총 10건, 1차 병원은 총 38건이 있었다.
침해사고 유형별로 보면 랜섬웨어가 가장 많았다. 보건복지부로부터 받은 <의료기관 사이버 침해사고 유형별 분류>를 보면 2020년 이후 3차 병원은 2건, 2차 병원 8건, 1차 병원은 35건이었다.
랜섬웨어란 사용자의 컴퓨터를 장악하거나 데이터를 암호화한 다음 정상적인 작동을 위한 대가로 금품을 요구하는 유형의 컴퓨터 바이러스를 말한다. 주로 사용자가 exe 파일을 설치하도록 유도하여 감염시킨다. 바이러스 의심이 되는 파일은 함부로 열어보지 않거나 악성 활동을 감지하는 백신을 통해서 차단해야 하는데, 이런 기본적인 방지책이 마련되지 않은 것으로 보인다.
의료법 제3조의5에 따른 상급종합병원은 정보통신망법 제49조제2항에 따라 정보 보안 수준을 평가받는 ISMS(정보보호관리체계 인증)을 받아야 한다. 의료기관은 민감정보를 다루고 있기 때문이다.
그런데 문제는 상급종합을 제외한 국내 대다수 병원과 의원급은 ISMS조차 인증을 받지 않아도 되는 사각지대로 남아있다는 점이다.
게다가 정보보안와 더불어 개인정보보호 수준을 평가받는 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증을 의무가 아니라 선택이라는 점도 문제된다. 개인정보 보호 측면이 강화된 ISMS-P 인증을 받은 곳은 삼성서울병원과 국립암센터 2곳 뿐이다.
더불어민주당 윤영덕 국회의원은 "병원에서 개인정보 유출 사고가 반복되고 있는데도, 정책대응이 이루어지고 있지 않다는 점이 문제"라고 지적하며 "민감정보를 취급하는 병원을 ISMS-P(개인정보보호관리체계 인증) 인증 필수 기관으로 지정해야 한다."고 말했다.
- 윤영덕 기자 jyn9345@naver.com
- 저작권자(c) 담양매일신문, 무단 전재 및 재배포 금지 2022.10.20 09:27