일선 의료기관에 대한 정부의 해킹 현황파악과 관리감독이 허술한 것으로 나타났다.

9일 한국인터넷진흥원이 더불어민주당 권미혁 의원에게 제출한 자료에 따르면, 2013년부터 최근 5년간 의원급 의료기관에 대한 해킹은 13건에 불과했다. 하지만 의료기관은 해킹피해 발생 시 복지부와 한국인터넷진흥원에 보고해야 할 의무대상에서 제외돼 실제 해킹 피해는 이보다 훨씬 많을 것으로 추정된다.

그런데도 복지부는 해킹피해 담당은 한국인터넷진흥원이라는 이유로 일선 기관에 해킹관련 교육·피해의무보고 등의 조치를 취하지 않고 있다. 실제 해킹 감독을 담당하는 정보화담당관실은 복지부 산하 유관기관에 한정해 해킹 예방교육·관제를 실시할 뿐, 일선 의료기관에는 30p 분량의 총론적인 정보보호 지침서만 보낸 것으로 확인됐다.

입법조사처 조사자료를 보면, 미국의 경우 2015년 기준 의료기관에 대한 공격이 전체 21%를 차지했다. 하루평균 1000건에 달하는 해킹 공격이 있었고, 2016년에는 4000건에 달하는 날도 있었다.

이에 미국 보건당국은 랜섬웨어 등 해킹 예방과 대처방안 홍보를 위해 Ransomware and HIPPA 지침서를 발간해 일선 병원에 배포했다. 또 랜섬웨어 공격 시 반드시 보고하도록 지침을 개정했다. 이 보고서는 악성소프트웨어 감지절차, 예방, 공격 후 회복절차 등에 대한 행동요령을 담고 있다.

반면 복지부가 2016년 각 의료기관에 배포한 지침서는 병원급(147p)과 의원급(30p)로 나눠져 있는데, 정보보호에 대한 총괄적인 지침서이기 때문에 해킹 피해 시 대응요령이나 사후대책 등에 대한 부분은 포함돼 있지 않다.

권 의원은 “2015년 북한의 대학병원 전산망 장악, 2016년 병원 개인정보 해킹을 통한 커플앱 계정 침입한 사건 등 의료기관 해킹사례가 늘고 있는데도 복지부는 안일하게 대처하고 현황조차 제대로 파악하지 않고 있다”고 지적했다. 그러면서 “랜섬웨어 등 해킹 예방·대응 등에 대한 구체적 행동요령을 담은 지침서를 만들어 배포하고 해킹 시 복지부가 현황을 보고받고 피해상황을 확인하도록 하는 등 제도 정비가 필요하다”고 했다.