[데일리팜=김진구 기자] 보건의료계에도 4차 산업혁명의 파도가 깊숙이 들어왔다. AI를 이용한 진단부터 의료빅데이터를 이용한 개인맞춤형 치료까지 기술적으로 구현이 가능해진 시대를 살고 있다.

그러나 첨단의료의 이면에는 우려도 적지 않은 상황이다. 해킹과 그로 인한 개인의료정보 유출 등의 우려다. 실제 이런 사례는 국내외에서 적잖게 발생하고 있다. 특히 단순히 개인의료정보 유출뿐 아니라, 진단과 치료 분야에도 해킹의 위험성이 심각하게 대두되고 있다는 설명이다.

원주의료기기테크노밸리는 최근 발간한 '의료기기 시장기술정보지'를 통해 첨단의료시대의 사이버보안 문제를 집중 조명했다.

◆CT검사 결과 위조 = 이스라엘의 벤구리온대학과 소로카대학병원은 한 가지 실험을 진행했다. 해킹을 통해 CT검사 결과를 조작할 수 있는지 여부였다.

결과는 성공적(?)이었다. 이들은 '생성적 적대신경망(Generative Adversarial Network, GAN)이라는 머신러닝 기술을 사용해 멀웨어를 만들고, 결국 CT 스캔 이미지 조작에 성공했다. GAN 기술을 활용해 환자의 CT 이미지 원본에 폐결절을 인위적으로 주입한 것이다.

이들은 CT스캐너는 PACS라는 시스템을 통해 관리되고, 생성된 이미지가 방사선 전문의에게 전송되는 점을 파고들었다.

데이터는 DICOM이라는 표준 포맷으로 전송·저장되는데, 문제는 PACS와 DICOM 서버가 인터넷에 무방비로 노출돼 있다는 점이다. CT 이미지 역시 암호화되지 않은 채 전송되고 있는 실정이다.

CT 이미지의 조작 가능성은 여러 문제를 야기한다는 설명이다. 예를 들어 의료인의 의도적인 오진을 의도해 범죄 등에 활용할 수 있다. 또, 장애나 희귀난치질환을 의도적으로 진단받도록 해 복지시스템을 악용하거나 군 면제에도 이용할 수 있다는 설명이다.

◆약물주입 펌프 해킹 = 더욱 직접적으로는 약물주입 펌프가 해킹된 사례도 있다. 실험적인 해킹이었지만, 얼마든지 악용이 가능하다는 점에서 관심을 모은다.

김용대 KAIST 전자공학과 교수 연구팀은 적외선레이저로 병원 중환자실에서 사용되는 약물주입기(Infusion Pump) 센서를 해킹하는 데 성공했다. 적외선레이저는 인터넷으로 불과 몇 천원이면 살 수 있는 제품이었다.

약물주입 펌프는 떨어지는 약물 방울을 세는 드롭센서와 주입펌프로 구성된다. 연구팀은 드롭센서에 적외선을 비춘 결과, 기기가 오작동을 일으킨다는 점을 확인했다. 연구팀은 "단순히 센서에 적외선을 비추는 '센서 스푸핑' 공격으로 투약량을 65%까지 줄이거나, 330%까지 늘릴 수 있었다"고 설명했다.

◆인공심장박동기 해킹 = 미국 FDA는 인공심장박동기의 해킹 가능성을 공식 인정했다. 인공심장박동기 역시 디지털로 데이터를 주고받는다는 점에서 해커의 먹잇감이 될 수 있다는 것이다.

미 FDA는 지난 2016년 한 의료기기업체의 인공심장박동기를 사용한 환자 두 명이 사망한 사건에 주목했다. 사망 원인은 이들의 인공심장박동기 배터리가 유효기간보다 3개월 빨리 소진된 탓이었다.

이에 미 FDA는 인공심장박동기의 해킹 위험을 공식 인정하면서, 해당 심장박동기 50만대의 리콜을 명령했다. 이후 인공심장박동기뿐 아니라, 제세동기와 인슐린 주입장치 등 의료기기의 사이버보안 취약성을 완화할 수 있는 가이드라인을 내놓기도 했다.

한국에서도 이같은 가이드라인을 마련했다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 5월, 의료기기의 설계부터 개발, 운영, 관리체계, 침해사고 대응에 이르기까지 보안 요구사항을 담은 '스마트의료 사이버보안 가이드'를 발표한 바 있다.

◆개인의료정보 유출 = 개별 의료기기에 대한 해킹 가능성뿐 아니라, 개인의료정보 유출에 대한 우려도 제기된다. 이미 국내외에선 개인의료정보 유출 사건이 잇따르고 있다.

미국의 경우 지난 2016년 LA 할리우드 프레스비테리언 메디컬센터가 해커로부터 악성코드 공격을 받고, 개인의료정보가 유출됐다. 해커는 1만7000달러를 요구했고, 결국 병원은 이를 지불할 수밖에 없었다.

이에 앞서 2015년엔 미국 내 2위 보험사인 '앤섬(Anthem)' 역시 8000만명의 회원정보를 해킹당한 바 있다. 이름과 생년월일뿐 아니라 사회보장번호, 주소, 수입 등의 데이터가 함께 유출됐다. 같은 해엔 마찬가지로 미국 보험사인 '프리메라 블루크로스'가 해킹당해 1100만명 분의 개인의료정보가 유출되기도 했다.

스마트 의료 보안사고, 가장 큰 원인은 '무관심'

국내의 사이버보안 인식은 매우 저조한 상황이다. 한국인터넷진흥원은 국내 기업 9000곳을 대상으로 정보보호 실태조사를 진행하고, 지난 4월 최종보고서를 발표했다. 보고서에 따르면 조사대상의 2.3%가 사이버보안 침해사고를 경험했다.

그러나 침해사고에 적극 대응한 업체는 17.4%에 그쳤다. 나머지 82.6%는 별다른 활동을 수행하지 않았다고 답했다.

별다른 대응을 하지 않는 이유를 물었더니, ▲정보보호 예산이 부족해서(45.5%) ▲전문인력을 확보하지 못해서(26.5%) ▲필요한 제품·서비스를 찾지 못해서(24.7%) 등으로 응답했다.

보고서는 "전 세계적인 수명연장과 고령화 진행은 의료 수요를 급격히 증가시킨다"며 "첨단의료의 실용화에 앞서 사이버보안에 대한 관심과 국가적 지원이 분명히 필요하다"고 주장했다.