포스트 코로나 시대, 의료 데이터는 위험하다

김은영 기자 / 기사승인 : 2020-09-28 19:02:19
  • -
  • +
  • 인쇄

의료 산업은 우리에게 가깝고도 먼 분야입니다. 전문분야라 일반인이 전문지식을 갖기는 어렵습니다. 하지만 분명 없어서는 안 될 분야입니다. 특히 코로나19 사태를 겪으면서 그 중요성은 더 커지고 있습니다. 전염병의 염기서열을 파악하고 항체를 만들고 백신을 개발하는 것은 의학 전문가들의 영역입니다. 그렇다면 IT 보안 업계는 의료 산업을 어떻게 바라봐야 할까요?



의료 분야에서 의학 전문가들만큼 바빠야 하는 것이 IT 보안입니다. 하지만 안타깝게도 우리나라 의료 기관의 매출액 대비 IT 예산은 1%에도 못 미치고 있습니다. 게다가 데이터 3법과 마이데이터가 상용화를 앞두면면서 의료 데이터 수집과 활용에만 관심이 쏠린 상태입니다. 현재 네트워크와 연결되는 IoT 의료기기와 의료 정보시스템이 증가하고 AI를 활용한 의료 빅데이터 분석 등의 기술이 빠르게 도입되고 있습니다. 이는 고객의 민감 정보 수집 및 유통, 활용 등을 가속화하고 있습니다.



의료 데이터에 대한 보안 인식은 그대로이지만 데이터 활용은 기하급수적으로 범위가 확장됨에 따라 안전한 의료 데이터 활용을 위한 대책이 시급합니다.





1. 의료 데이터는 돈이 된다

IBM 시큐리티가 글로벌 보안컨설팅 전문업체인 포네몬 인스티튜트와 함께 발표한 ‘2020 글로벌 기업 데이터 유출 현황 보고서’에 따르면, 올해 데이터 탈취 피해가 가장 컸던 것은 의료 분야였습니다. 데이터 유출 사고 발생 후 수습 관리 비용에는 평균 85억 원이 필요한 것으로 나타났습니다.



이렇게 의료 분야에서 데이터 관련 피해 규모가 가장 큰 것은 어제, 오늘의 일이 아닙니다. 의료 분야는 10년 동안 가장 큰 데이터 피해를 입은 분야로 선정된 바 있습니다. 그렇다면 왜 의료 분야의 피해 규모가 가장 큰걸까요? 그 해답은 정보의 가치에 있습니다.



해커들은 사이버 공격을 통해 여러 가지 이득을 취합니다. 그중 하나가 금전적 이득입니다. 탈취한 데이터를 불법적으로 거래하거나 악용하여 또 다른 금전적 이익을 얻습니다. 이때 데이터가 가지고 있는 가치가 높거나 활용도가 높다면 해커가 얻을 수 있는 이익도 커지게 될 것입니다. 의료 및 질병 데이터가 바로 그 내재된 가치가 높은 데이터입니다.



예를 들어, 특정인의 신체 및 질병 정보를 갖고 있다면 이를 활용해 의약품이나 건강식품을 광고할 수 있습니다. 나아가 보험사에서는 특정 상품에 대한 조건 등을 유리하게 만들거나 가입 자체를 제한할 수도 있습니다. 또한 질환에 대한 이력은 사회적 낙인 효과를 만들어 낼 위험성도 있습니다.



이렇게 의료 데이터는 활용성이 무궁무진하기 때문에 가치가 높게 책정됩니다. 즉, 해커가 가장 좋아하는 데이터가 의료 데이터입니다.





2. 취약점이 유난히 많다

의료 데이터의 가치가 높은 것에 비해 데이터를 보호하기 위한 요소들은 소홀한 편입니다. 특히 의료 분야에서는 다양한 의료 기기들을 사용하는데요. 이 많은 기기를 개별적으로 보호하는 것은 거의 불가능합니다. 또한 의료 기기를 설계하고 관리할 때 보안 요소들은 소홀히 하는 경우가 많아 취약점에 노출되어 있는 상황입니다. 게다가 의료 기기 보안에 대한 지침도 많지 않아 이러한 문제에 대한 책임 소재가 명확하지 않습니다. 이러한 불명확성은 또다른 보안 취약점으로 작용할 수 있습니다.



또한 의료 산업에 종사하는 관리자 대부분이 보안에 대한 배경지식이 부족한 상황입니다. 때로는 보안 위협에 대한 인식조차 하지 못하는 경우도 많습니다. 설령 병원에 보안 담당자가 있다 하더라도. 그 규모에 비해 인력은 턱없이 부족한 실정입니다.



이렇게 산업 특성상 수많은 취약점을 가지고 있는 의료 데이터는 해커들이 노리기에 좋은 조건을 갖추고 있습니다.





3. 사람의 생명과 직결된다

의료 분야에서 IT 보안이 중요한 가장 핵심적인 이유입니다. 의료분야는 사람의 생명과 직결되어 있습니다. 해킹으로 코로나 진단 시스템이 중단되거나 의료기기에 오작동이 발생하면 개인의 건강뿐 아니라 지역사회 전체에 치명적인 결과로 돌아올 수 있습니다. 실제로 미국 식약청의 실험에 따르면, 몸속에 이식하는 심장박동기에서 배터리를 예상 시간보다 빠르게 소진시키거나, 심박 수를 위험한 수준까지 상승시키는 등 임의로 오작동하는 것이 가능했습니다. 이 실험의 결과는 전 세계 의료 분야의 보안 위협에 대한 경각심을 불러일으킨 계기가 되었습니다.

 

세인트쥬드의 인공 심장박동기

의료 분야에서 IT보안이 중요한 이유 3가지를 살펴봤는데요. 코로나19로 인해 의료 시스템과 방역체계에 대한 관심과 중요성이 높아지고 있습니다. 그렇다면 의료 분야의 안전한 환경을 구축하기 위해서는 어떻게 해야 할까요?



보안 문제 인식하기

앞서 언급했던 것처럼 의료 분야에서 보안을 담당할 인력도 지식도 부족한 것이 사실입니다. 게다가 의료 환경에는 의료기기, 의료기관 내부 네트워크, 의료정보시스템, 의료정보 DB 등 수많은 연결지점이 존재하는데요. 단순히 개별 의료 기기를 보호하는 것으로 안전성을 담보할 수 없습니다. 즉, 의료 시스템 전체가 가지고 있는 보안 문제를 인식하고 거시적인 관점에서 대응 전략을 찾아야 합니다.





의료 환경 특성에 맞는 보안 솔루션 도입하기

의료 분야에서 생성되는 데이터는 다른 산업보다 비정형 데이터의 비중이 높습니다.

실제로 서울대 의대의 조사에 따르면 의료 빅데이터는 80% 이상이 비정형 데이터로 나타났는데요. 이러한 비정형 데이터는 표준화도 되어 있지 않아, 의료 데이터 활용뿐 아니라 보호하는 데도 어려움을 겪고 있습니다. 특히 디지털 의료영상, X-ray 이미지, 자기공명영상(MRI) 등 환자의 민감 정보가 다수 포함되어 있어 주의가 필요한데요. 이러한 의료 영상 이미지를 관리하는 시스템 PACS*는 반드시 암호화를 통해 데이터를 보호해야 합니다.

*PACS(Picture Archiving and Communication System): 의료영상저장전송시스템으로 디지털 의료영상 이미지를 저장, 가공 및 전송하는 통합 관리 시스템

우리는 코로나19를 겪으면서 의료 데이터의 중요성과 동시에 위험성을 경험하고 있습니다. 전염병에 대응하기 위해서는 위치정보를 비롯해 많은 민감 정보가 포함되기 때문입니다. 그뿐만이 아닙니다. 의료기관에서 사용하는 장비들은 네트워크로 연결되어 있고, 언제든지 해커들의 타깃이 될 수 있습니다. 그리고 의료 데이터를 악용한다면 금전적 이익을 넘어 사람의 생명을 위협하는 상황이 찾아올 수 있습니다. 포스트코로나를 준비해야 하는 지금, 의료 산업의 특성을 이해하고 효과적인 보안 솔루션 도입을 위한 고민이 필요한 시점입니다.

[저작권자ⓒ 데이터저널. 무단전재-재배포 금지]