상급 종합병원 평균 보안인력, 1.03명 불과...예산도 ‘쥐꼬리’

상급 종합병원, 보안 전담인력 1.03명 수준
병원급 이상 66% 의료기관 보안예산 규모는 2~5천만원 불과

[보안뉴스 김경애 기자] 의료기관의 보안 취약점은 갈수록 부각되고 있는 반면, 보안인력과 보안예산은 좀처럼 개선되지 않는 것으로 나타났다. 의료기관은 중요한 환자정보를 보유 및 취급하고 있어 정보보안에 심혈을 기울여야 하지만 의료기기 보안 취약점, 개인정보 암호화 미흡 등이 제기되고 있는 실정이다. 이러한 상황에도 의료기관은 보안관제는커녕 보안 전담인력도 1명 내외로 열악한 것으로 조사됐다.

▲‘의료기관 사이버보안 워크숍’에서 발표중인 보건복지 사이버안전센터 이성훈 수석[사진=보안뉴스]

의료기관에서는 여러 취약점이 존재하고 있다. ISEC 2018과 동시에 열린 ‘의료기관 사이버보안 워크숍’에서 발표된 보안관제로 본 공공 의료기관의 취약사례를 살펴보면 의료기관의 주요 취약점은 원격 관리 포트 Open 취약점으로 △오픈소스 취약점(Web Editor/Apach Strruts) △무차별 대입공격(FTP/SSH) △DB 취약점 익스플로잇(Exploit) Oracle/Weblogic) 등이 있다.

보건복지 사이버안전센터 이성훈 수석은 취약점을 악용한 공격 시나리오와 관련해 “암호화폐 가격이 급상승함에 따라 가상화폐 채굴을 위한 마이너(Miner) 공격이 증가하고 있다”며 “지속적인 스캐닝(Scanning)을 통한 공격 대상 선정을 거쳐 권한 탈취 후, 암호화폐 마이너를 설치해 시스템 자원을 소모시킨 뒤, 공격자 개인 월렛(Wallet)으로 암호화폐를 전송한다”고 밝혔다.

하지만 의료기관의 정보보호 전담인력 확충과 예산 투자는 상당히 미흡한 수준이다. 상급 종합병원은 평균 직원 2,479명 중 보안 전담인력은 1.03명 수준으로 조사됐다. 이는 금융기관의 557 규정(전체인력 5% IT 인력, IT 인력 5% 보안인력, 전쳬예산 7% IT 예산)에 비해 턱없이 부족하다는 얘기다.

보안예산도 마찬가지다. 예산이 확보된 상급 종합병원은 연평균 7억 2,200만원 정도 보안예산이 집행되며, 63.9%가 보안장비 및 보안 SW 구매, 유지보수에 활용된다. 그나마 병원급의 경우 66%는 보안예산을 편성 중이나 규모는 2~5천만원에 불과하며, 이마저도 편성하지 않는 의료기관이 수두룩한 것으로 드러났다.

게다가 상시적 보안관제는 상급 종합병원 중 2개 기관인 삼성의료원, 세브란스병원(국립대병원 제외) 뿐이며, 국립대병원 11개 기관은 교육부에서 보안관제를 지원하고 있다.

이와 관련 대한병원정보협회 산하 병원정보보안협의회 경우호 회장은 “사이버보안보다는 개인정보보호에 민감해 예산 투자도 개인정보보호에 집중돼 있다”며 최소한의 보안장비인 방화벽, IPS, 백신 외에 다른 보안 솔루션은 없는 경우가 허다하다”고 지적했다.

이성훈 수석 역시 “의료기관은 보안인력과 예산 투입을 통해 사이버안전체계를 강화해야 한다. 보안장비 구축만이 정보보안 관리의 모든 것으로 착각하면 안 된다”며 “의료기관들은 ISMS 인증, 주요 정보통신기반시설 실태평가, 개인정보보호 현장점검 등 철저한 정보보안 관리가 요구되지만, 현실은 법적 의무사항 준수와 보안장비 구축에 국한돼 있다”고 말했다. 덧붙여 그는 “공공과 민간의 상호조화를 통한 사이버보안 대응체계 강화 노력이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)