세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
상급 종합병원 평균 보안인력, 1.03명 불과...예산도 ‘쥐꼬리’
  |  입력 : 2018-09-05 17:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
상급 종합병원, 보안 전담인력 1.03명 수준
병원급 이상 66% 의료기관 보안예산 규모는 2~5천만원 불과


[보안뉴스 김경애 기자] 의료기관의 보안 취약점은 갈수록 부각되고 있는 반면, 보안인력과 보안예산은 좀처럼 개선되지 않는 것으로 나타났다. 의료기관은 중요한 환자정보를 보유 및 취급하고 있어 정보보안에 심혈을 기울여야 하지만 의료기기 보안 취약점, 개인정보 암호화 미흡 등이 제기되고 있는 실정이다. 이러한 상황에도 의료기관은 보안관제는커녕 보안 전담인력도 1명 내외로 열악한 것으로 조사됐다.

▲‘의료기관 사이버보안 워크숍’에서 발표중인 보건복지 사이버안전센터 이성훈 수석[사진=보안뉴스]


의료기관에서는 여러 취약점이 존재하고 있다. ISEC 2018과 동시에 열린 ‘의료기관 사이버보안 워크숍’에서 발표된 보안관제로 본 공공 의료기관의 취약사례를 살펴보면 의료기관의 주요 취약점은 원격 관리 포트 Open 취약점으로 △오픈소스 취약점(Web Editor/Apach Strruts) △무차별 대입공격(FTP/SSH) △DB 취약점 익스플로잇(Exploit) Oracle/Weblogic) 등이 있다.

보건복지 사이버안전센터 이성훈 수석은 취약점을 악용한 공격 시나리오와 관련해 “암호화폐 가격이 급상승함에 따라 가상화폐 채굴을 위한 마이너(Miner) 공격이 증가하고 있다”며 “지속적인 스캐닝(Scanning)을 통한 공격 대상 선정을 거쳐 권한 탈취 후, 암호화폐 마이너를 설치해 시스템 자원을 소모시킨 뒤, 공격자 개인 월렛(Wallet)으로 암호화폐를 전송한다”고 밝혔다.

하지만 의료기관의 정보보호 전담인력 확충과 예산 투자는 상당히 미흡한 수준이다. 상급 종합병원은 평균 직원 2,479명 중 보안 전담인력은 1.03명 수준으로 조사됐다. 이는 금융기관의 557 규정(전체인력 5% IT 인력, IT 인력 5% 보안인력, 전쳬예산 7% IT 예산)에 비해 턱없이 부족하다는 얘기다.

보안예산도 마찬가지다. 예산이 확보된 상급 종합병원은 연평균 7억 2,200만원 정도 보안예산이 집행되며, 63.9%가 보안장비 및 보안 SW 구매, 유지보수에 활용된다. 그나마 병원급의 경우 66%는 보안예산을 편성 중이나 규모는 2~5천만원에 불과하며, 이마저도 편성하지 않는 의료기관이 수두룩한 것으로 드러났다.

게다가 상시적 보안관제는 상급 종합병원 중 2개 기관인 삼성의료원, 세브란스병원(국립대병원 제외) 뿐이며, 국립대병원 11개 기관은 교육부에서 보안관제를 지원하고 있다.

이와 관련 대한병원정보협회 산하 병원정보보안협의회 경우호 회장은 “사이버보안보다는 개인정보보호에 민감해 예산 투자도 개인정보보호에 집중돼 있다”며 최소한의 보안장비인 방화벽, IPS, 백신 외에 다른 보안 솔루션은 없는 경우가 허다하다”고 지적했다.

이성훈 수석 역시 “의료기관은 보안인력과 예산 투입을 통해 사이버안전체계를 강화해야 한다. 보안장비 구축만이 정보보안 관리의 모든 것으로 착각하면 안 된다”며 “의료기관들은 ISMS 인증, 주요 정보통신기반시설 실태평가, 개인정보보호 현장점검 등 철저한 정보보안 관리가 요구되지만, 현실은 법적 의무사항 준수와 보안장비 구축에 국한돼 있다”고 말했다. 덧붙여 그는 “공공과 민간의 상호조화를 통한 사이버보안 대응체계 강화 노력이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)