[뉴스인] 조진성 기자 = 세계적으로 해킹 피해가 급증하는 가운데 일선 의료기관에 대한 복지부의 해킹 현황파악과 관리감독이 허술한 것으로 나타났다.

한국인터넷진흥원이 권미혁 의원에게 제출한 자료에 따르면 지난 2013년부터 최근 5년간 의원급 의료기관에 대한 해킹은 13건에 불과하다.

하지만 의료기관은 해킹피해 발생 시 보건복지부와 한국인터넷진흥원에 보고해야 할 의무대상에서 제외돼 실제 해킹 피해는 이보다 훨씬 많을 것으로 추정된다.

그럼에도 복지부는 해킹피해 담당은 한국인터넷진흥원이라는 이유로 일선 기관에 해킹관련 교육·피해의무보고 등의 조치를 취하지 않고 있다는 지적이다.

보건복지부가 권미혁 의원에게 제출한 자료를 보면 의료기관 해킹 감독을 담당하는 정보화담당관실은 복지부 산하 유관기관에 한정, 해킹 예방교육·관제를 실시하고 있을 뿐, 일선 의료기관에는 30쪽 분량의 총론적인 정보보호 지침서만 하달한 것으로 나타났다.

입법조사처 조사자료에 의하면 미국은 2015년을 기준으로 핵심 인프라 중 의료기관에 대한 공격이 전체 21%였으며 일별 1000건에 달하는 해킹 공격을 받고 있으며, 지난해는 4000건에 이르는 날도 있는 것으로 나타났다.

이에 미국 보건복지부는 랜섬웨어 등 해킹 예방 및 대처방안 홍보를 위해 'Ransomware and HIPPA' 지침서를 발간해 일선 병원에 배포했으며, 랜섬웨어 공격 시 보건복지부에 반드시 보고하도록 지침을 개정했다.

이 보고서는 악성소프트웨어 감지절차·예방·공격 후 회복절차 등에 대한 행동요령을 담고 있다.

반면 한국의 보건복지부가 2016년 각 의료기관에 배포한 지침서 병원급(147p)과 의원급(30p)로 나눠져 있는데, 정보보호에 대한 총괄적인 지침서이기 때문에 해킹 피해 시 대응요령·사후대책 등에 대한 부분은 제외돼 있다.

미국은 랜섬웨어 관련 해킹에 대한 매뉴얼을 따로 배포해 일선 기관에서 대응이 가능한 반면, 한국은 정보보호 지침서만으로는 일선기관이 해킹에 대응하기 어려운 실정이다.

또한 인터넷진흥원에 신고된 대부분의 의료기관이 의원급이고, 실제 해킹위험에 상대적으로 노출돼 있음에도 지침서가 상대적으로 부실하게 구성돼 있다는 지적이다.

권미혁 의원은 "2015년 북한의 대학병원 전산망 장악·2016년 병원 개인정보를 해킹해 커플앱 계정에 침입한 사건 등 의료기관 해킹사례가 급증했음에도 보건복지부가 개인정보보호에 안일하게 대처하고 있으며, 관련 현황조차 제대로 파악되지 않고 있다"고 지적했다.

이어 "랜섬웨어 등 해킹 예방·대응 등에 대한 구체적 행동요령을 담은 지침서를 만들어 배포함과 동시에 해킹 시 복지부가 현황을 보고받고 피해상황을 확인하도록 하는 등 제도 정비가 필요하다"고 강조했다.