3년간 병원 74곳 랜섬웨어·해킹…‘개인정보 유출’ 우려

상급병원 40%, 종합병원 92.9% 보안 서비스 미가입
김영주 의원 "의료기관의 보안 서비스 가입 의무화 추진"

/김영주 의원실

최근 3년여간 전국 의료기관 74곳이 랜섬웨어·해킹·디도스 등 사이버 공격을 받은 것으로 드러났다. 특히 상급병원이나 종합병원처럼 규모가 큰 병원일수록 환자들의 개인정보가 수십만 건 유출될 수 있어 더욱 위험하다는 지적이다.

14일 국회 보건복지위원회 소속 김영주 의원이 보건복지부·한국사회보장정보원·한국인터넷진흥원·교육부에서 확보한 자료에 따르면 2020년 1월부터 올 7월까지 상급병원 4곳, 종합병원급 13곳, 일반병원급 22곳, 의원급 35곳 등 총 74개 병원이 사이버 침해사고를 당했다.

사이버 침해사고는 2020년 13건, 2021년 21건, 2022년 23건으로 지난 3년간 점차 증가했다. 2023년 1~7월 발생한 사이버 사고는 17건이었다. 사고 유형은 랜섬웨어 악성코드가 68건(90.5%)으로 대부분이었다. 랜섬웨어는 해커가 병원의 환자진료정보 파일을 암호화해 병원이 접근할 수 없도록 만든 후 금전 지불을 요구하는 방식으로 피해가 발생한다.

정부의 의료기관 대상 사이버 보안 서비스는 자율 가입 형태다. 대다수 병원은 서비스 연회비와 가입 이후 전산인력 충원 등에 부담을 느껴 보안 서비스에 미가입했다. 2020년 9월 디도스 공격을 받은 원광대학교병원, 2022년 3월 환자 개인정보가 유출된 부산대동병원 등도 이에 속한다.

정부 보안 서비스에 가입하지 않은 종합병원은 267곳 중 248곳(92.9%), 상급병원은 45곳 중 18곳(40%)이었다. 일부 병원들은 4500만원, 미화 1500달러, 비트코인 등을 지불해 랜섬웨어·해킹 상황을 마무리한 것으로 알려지기도 했다.

김 의원은 "상급병원이나 종합병원들이 보안관제 서비스 가입에 소홀한 실정"이라며 "환자 개인정보 유출 과태료를 상향하고 상급·종합병원의 사이버 보안관제 서비스 가입을 의무화하는 의료법 개정안을 준비하고 있다"고 밝혔다.