 |
당시 강원대학교병원은 정보시스템(전산망)을 강타한 랜섬웨어 공격을 받았고, 그 결과 주요 의료영상시스템(PACS) 사용이 한때 제한됐다. 또 자기공명영상장치(MRI)와 컴퓨터단층촬영(CT)과 같은 핵심 진료에도 차질이 빚어졌다.
공격자는 정상화를 위한 몸값으로 수억원어치 비트코인을 요구했고 안팎에서는 북한 소행이라는 후문이 떠돌았다.
그러나 사태의 본질은 '누가 공격했는가'보다 '어떻게 대처했는가'에 있다.
황연수 분당서울대학교병원 정보보호최고책임자(CISO)는 "병원은 24시간 365일 운영을 전제로 하는 곳"이라며 "업무연속성과 회복탄력성이 중요한 이곳에서 보안 사고로 인한 장애는 곧 재앙"이라고 밝혔다.
랜섬웨어는 시스템에 침투해 자료 및 데이터를 암호화하고, 복구 대가로 금전을 요구하는 악성 프로그램이다. 최근에는 랜섬웨어 공격으로 수익을 내는 서비스형랜섬웨어(RaaS) 사업 모델까지 고도화되면서 누구나 랜섬웨어 공격을 시도해볼 수 있는 시대가 왔다.
범죄 환경이 진화하고 있다는 점은 병원에게 치명적인 위협 요인으로 떠오르고 있다.
황 CISO는 "병원은 이제 전산 없이는 운영이 어렵다"며 "전산이 완전히 멈췄을 때 수작업 절차(프로세스)로 대체할 수는 있지만 이러한 과정이 더욱 문제가 될 가능성도 있다"고 지적했다.
그 이유로는 "하루 종일 종이에 처방을 쓰는 방식으로 진료를 보면, 해당 데이터를 추후 누가 다시 전산에 입력할 것이냐는 문제가 생긴다"며 "해당 부분에 대한 명확한 프로세스가 없는 병원도 있다"고 설명했다.
영향을 받은 데이터 범위를 측정하는 것도 까다롭다. 황 CISO는 "데이터 손실이 발생할 경우 환자 진료부터 병원 수납 기록까지 영향을 받는다"며 "PACS가 아닌 전자의무기록(EMR)에서 문제가 생겼다면 사실상 모든 데이터가 영향을 받을 가능성도 있다"고 부연했다.
랜섬웨어 공격을 받은 병원은 공격자에게 대가를 지불하거나, 백업 시스템을 통해 데이터를 복원하는 방식으로 대응하게 된다. 후자를 선택할 경우 'RTO(Recovery Time Objective·장애 발생 후 복구까지 걸리는 시간)'와 'RPO(Recovery Point Objective·데이터를 복구할 시점)'를 두고 고민하곤 한다.
이와 관련해 황 CISO는 백업 또한 만병통치약이 아닐 수 있다고 시사했다. 그는 "RPO는 실시간(리얼타임) 백업이 아니면 항상 데이터 손실이 발생할 수밖에 없다"며 "리얼타임 백업 시스템이 있다 하더라도 같이 암호화될 가능성이 있어, 보통은 전날 백업된 데이터를 이용하기도 한다"고 말했다.
이어 "그렇게 되면 최종 백업 시점과 장애 발생 시점 사이 데이터는 손실된다"며 "그 사이 생성된 데이터는 살릴 수 없다"고 꼬집었다.
백업 방식에 대한 고민도 있다.
황 CISO는 "모든 데이터를 통째로 가져오는 '풀 백업'과, 변경된 데이터만 추가로 백업하는 '증분 백업'이 있다"며 "EMR과 같은 텍스트 기반 데이터는 풀 백업이 가능하지만 PACS의 경우 이미지 데이터를 다루기 때문에 용량이 커 증분 방식을 선택하기도 한다"고 말했다.
다만 "증분 백업은 쉽지만 복구가 어렵다"며 "풀 백업을 먼저 복구한 뒤 증분 데이터를 순서대로 적용해야 하는데, 이러한 어려움이 있어 데이터를 100% 복구하지 못할 가능성도 있다"고 강조했다.
의료 현장에서도 보안 사고에 대한 경각심이 있지만 모든 위협을 막아내기는 어려운 실정이다. 특히 의료사물인터넷(IoMT)와 다양한 의료기기에서 네트워크 연결이 확대되면서 사이버 공격에 노출되는 범위가 증가하고 있다. 환자 모니터링 장비부터 영상 진단 기기, 치료 보조 제품 등도 마찬가지다.
황 CISO는 병원에서 랜섬웨어가 침투하는 취약한 고리로 "인터넷에 연결된 환경(정보 인프라)"를 꼽았다. 그는 "망분리가 안 돼 있으면 클라이언트·PC들이 모두 외부에 노출될 수밖에 없다"며 "망분리가 안 된 상태에서 정보보안 투자를 하는 것은 모래성 쌓기"라고 평가했다.
의료 현장에서 인공지능(AI) 등 차세대 기술을 논하기 이전에 경계선 보안이 필요한 영역에 대한 관리가 고도화돼야 한다는 취지다. 망분리를 의무 적용할 필요가 없는 곳에서도 자체적으로 위협이 생길 수 있는 취약점을 관리해야 한다는 것이다. 현재 일부 병원은 편의성을 이유로 망분리가 필요한 영역을 관리하지 않기도 한다.
황 CISO는 "요즘 의료기기 대부분은 네트워크와 컴퓨팅 기능이 있고 MRI와 CT 장비에도 컴퓨터가 연동돼 있다"고 전했다. 그러면서 "문제는 오래된 장비"라며 "설치한 지 10년이 넘은 장비에 윈도XP 등 옛 운영체제(OS)가 깔려 있기도 하고, 이럴 경우에는 보안 패치와 백신 설치가 어렵기도 하다"고 말했다.
이어 "병원에는 이러한 장비들이 수십대 있다"며 "그런 장비가 랜섬웨어 감염의 시작점이고, 외부 접점이 없더라도 망이 열려 있으면 언제든지 공격이 들어올 수 있다"고 지적했다.
황 CISO는 대형 개인정보 유출 사고에 대한 법적 책임이 강화되고 있는 만큼 병원을 비롯한 의료 환경에서도 보안을 강화하려는 움직임이 본격화돼야 한다고 밝혔다.
의료기관은 개인정보 유출 사고가 발생할 경우 과징금, 행정처분, 민·형사상 책임을 물게 된다. 의료기관은 진료 기록부터 건강 상태, 유전자 정보 등 민감정보를 다루기 때문에 처벌 수위 또한 높아질 수밖에 없다.
이에 황 CISO는 "개인정보 과징금 상한이 높아지는 만큼 보안에 투자하는 것이 오히려 경제적이라는 인식이 있다"며 "보안 진단 비용이 수천만원 들더라도 필요한 이유"라고 말했다. 이어 "데이터 손실은 단순 장애 문제가 아닌 기관 존폐의 문제라는 점을 기억하고 대응해야 한다"고 제언했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
