IT보안. 병원, 해커가 제일 좋아하는 사냥터
— 돈도 많고, 급하고, 보안은 엉망이고 —
1년 전쯤 같은 게임길드에 있는 중견급 병원 원장님한테 전화가 왔다.
"저희 EMR 서버가 이상한 것 같아요. 파일이 안 열려요."
*EMR : Electronic Medical Record. 환자 진료기록을 전산으로 관리하는 시스템이다. 차트, 처방전, 검사 결과, 예약까지 전부 여기 들어있다. 병원 입장에선 이게 멈추면 그냥 병원이 멈추는 거다.
경험상 10의 9는 랜섬웨어라는 생각을 하고 병원에 갔는데, 역시나 랜섬웨어였다. 환자 차트 전부. 예약 기록 전부. 그 원장님이 10년 동안 쌓아온 것들이 전부 암호화되어 있었다.
복구 됐냐고? 일부만. 백업이 같은 서버에 물려있었다.
해커 입장에서 병원은 이상적인 타깃이다
공격자 입장에서 좋은 타깃의 조건이 있다.
① 돈이 되는 데이터가 있을 것. ②시스템이 멈추면 안 되는 곳일 것. ③보안이 약할 것.
병원은 이 세 가지를 동시에 충족하는 거의 유일한 업종이다.
데이터부터 보자. 다크웹에서 신용카드 정보 한 건이 1~2달러 수준이라면, 의료 기록 한 건은 수십 달러에서 수백 달러다. 병명, 복용 약물, 수술 이력, 정신과 기록까지 한 데이터셋에 묶여있으니 당연하다. 보험사기에 쓰이기도 하고, 협박에 쓰이기도 한다. (무슨 협박인지는 굳이 설명 안 해도 알 것 같다)
Google Gemini가 생성한 이미지두 번째가 진짜 핵심이다. 병원은 멈추면 안 된다.
랜섬웨어 걸린 제조공장은 며칠 생산 중단을 버틸 수는 있다. 근데 응급실이 EMR 없이 환자를 받아야 한다면? 혈액형 확인이 안 되고, 알레르기 이력이 없고, 복용 중인 약 목록을 모르는 상태로 처치에 들어간다면?협박받는 입장에서 버틸 시간이 없다는 걸 공격자들도 안다. 그래서 병원 타깃 랜섬웨어 몸값은 다른 업종보다 높게 부른다. 그리고 실제로 더 잘 낸다.
근데 병원 해킹 뉴스는 왜 잘 안 보이나
"병원이 그렇게 많이 털린다고요? 근데 저는 별로 들어본 적이 없는데요?"
이 말, 나도 꽤 자주 듣는다. 안 들려서 없는 게 아니다. 안 알려서 없는 것처럼 보이는 거다.
병원 입장에서 해킹 사고는 쉬쉬할 이유가 차고 넘친다. 환자 신뢰가 무너지고, 과징금이 나오고, 의료법 위반까지 엮일 수 있다. 그러니 조용히 몸값 내고, 조용히 복구하고, 조용히 넘어가는 게 병원 입장에선 최선이다. 실제로 내가 아는 사고들 중 뉴스에 나온 건 일부다.
물론 규모가 크면 숨기기 어렵다. 2020년 뒤셀도르프 대형병원 랜섬웨어 사고는 시스템이 전면 다운되면서 응급 환자가 다른 병원으로 이송되다 사망한 사건이 공식 기록에 남아있다. 2021년 아일랜드 보건서비스 전산망 마비, 2023년 미국 프로스펙트 메디컬 시스템 랜섬웨어로 수십 개 병원 동시 다운. 국내도 크고 작은 사고들이 있지만, 공식 발표로 이어진 경우는 드물다.
조용한 게 괜찮은 게 아니다. 조용히 당하고 있다는 거다.
왜 보안이 약한가 — 구조의 문제다
병원이 보안에 무관심해서가 아니다. 구조적으로 보안에 투자하기 어렵게 되어 있다.
의료 장비가 시한폭탄이다.
MRI, CT, 내시경 장비들. 다 네트워크에 물려있다. 그리고 운영체제가 Windows 7이거나, 심한 경우 XP인 경우가 아직도 있다. (실제로 점검 나가서 본 이야기다)
왜 업그레이드를 안 하냐고? 의료 장비 제조사에서 최신 OS를 지원 안 해주기 때문이다. "OS 올리면 의료기기 인증 다시 받아야 한다"는 이유로 수억짜리 장비를 10년 넘게 그대로 쓴다. 장비는 멀쩡한데 OS가 구멍투성이인 상태로.
IT 인력이 없다.
소형 의원 기준으로 IT 담당자가 있는 곳이 드물다. EMR 설치해 준 업체 전화번호 하나 붙여놓고 끝이다. 그 업체가 보안 사고까지 책임지느냐는... 계약서를 보면 된다. 대부분 안 나와있다.
망 분리가 안 되어 있다.
원칙적으로 환자 의료정보 망과 인터넷 망은 분리되어야 한다. 현실은, 간호사가 EMR 쓰던 PC로 인터넷 쇼핑몰로 옷도 산다. 의사가 진료실에서 환자 차트 보다가 같은 PC로 학회 논문 PDF 열어본다. 전부 같은 망이다.
"그럼 PC를 두 대 놓으라는 거예요?"
맞다. 그게 맞다. 근데 공간도 없고 예산도 없다는 게 현실 답변이다. 물론 PC 두 대 싫으면 전용 망분리 솔루션 도입하면 된다. 근데 그게 PC 한 대 추가 사는 것보다 비싸다. 답은 나왔다
화면보호기도 없다.
어떤 병원 가보니 간호사, 의사 할 것 없이 퇴근하면서 PC를 아무도 안 끄더라. 화면보호기 설정도 당연히 없고. 이유를 물었더니 돌아온 답이 걸작이었다.
"환자 보기도 바쁜데 그런 걸 신경 써요?"
할 말이 없었다. 바쁜 건 맞으니까. 근데 퇴근하고 텅 빈 간호사 스테이션에 환자 차트가 그대로 켜져 있는 걸 보면서, 굳이 해킹 같은 거창한 단어를 꺼낼 필요도 없겠다 싶었다. 지나가는 사람 아무나 봐도 되는 거면 모를까.
대형병원이라고 다를까
소형 의원은 없어서 못 한다. 인력도, 예산도, 신경 쓸 여유도. 그런데 규모가 있는 병원은 다를까. IT팀도 있고 보안 솔루션도 어느 정도 갖춰져 있다. 요즘은 양자암호 통신까지 도입하는 대형병원도 나오고 있다.
(양자암호는 물리적으로 도청이 불가능한 암호화 통신 방식인데, 아직은 도입 비용이 상당하다)
근데 대형병원은 다른 문제가 있다. 연구인력이 너무 많다는 것이다.
교수, 전공의, 임상시험팀, 연구간호사. 이 사람들이 외부 기관이랑 환자 데이터를 주고받는다. 논문 쓰려고, 공동연구 하려고, 임상 데이터 공유하려고. 그 이동 경로를 IT보안팀이 전부 파악하고 있느냐고?못 한다. 파악하려 하면 "연구에 방해된다"는 민원이 들어온다.
대형병원의 문제는 보안 솔루션이 없어서가 아니다. 보안 통제가 미치지 않는 영역이 너무 많아서다. 그리고 그 영역에 가장 민감한 데이터들이 돌아다닌다.
한쪽에선 양자암호를 깔고, 한쪽에선 EMR 설치업체 전화번호 하나로 버티고 있다. 병원 보안도 결국 부익부 빈익빈이다. 그리고 해커는 당연히 약한 쪽을 먼저 노린다.
마케팅비는 억 단위, 보안은 비용
병원 보안 얘기하다 보면 꼭 한 번씩 머릿속이 멍해지는 순간이 있다.
문자 광고비만 한 달에 몇천만 원씩 쓰는 병원이, 보안 솔루션 견적 보고는 "이게 꼭 필요한가요?"라고 묻는다. 마케팅은 투자고, 보안은 비용인 거다. 원장 입장에선.
Google Gemini가 생성한 이미지틀린 말은 아니다. 마케팅은 환자가 늘어나는 게 눈에 보이고, 보안은 사고가 안 나면 아무것도 안 보인다. 그러니 예산 배분이 그렇게 될 수밖에 없는 논리는 이해한다.
근데 딱 한 가지만 생각해 보자. 랜섬웨어 한 번 걸리면 병원 문 닫고 복구하는 동안 환자는 어디로 가나. 그리고 그 환자가 다시 돌아오나.
마케팅비 몇 달치가 하루아침에 날아가는 게 보안 사고다. 근데 그걸 경험하고 나서야 연락이 온다. 항상.
"환자 보는 게 먼저지, 보안이 뭐가 중요해요."
좋은 말이고 맞는 말이다. 근데 EMR이 멈추면 환자를 제대로 볼 수 없다. 데이터가 털리면 그 피해가 고스란히 환자한테 간다. 보안이 두 번째가 아니라, 환자 안전의 일부라는 거다.
나 같은 기술쟁이도 아는 이야기를, 사람 목숨 다루는 의사가 모른다는 게 아이러니라면 아이러니다. 뭐, 그걸 설득하는 게 내 일이긴 하지만.
사족.
처음에 전화 왔던 그 원장님, 결국 몸값 냈다. 얼마인지는 묻지 않았다. 표정으로 충분했다. 그나마 다행인 건, 그 이후 그 형님이 크지도 않고 적지도 않은 돈으로 랜섬웨어 방지 솔루션 정도는 도입했다는 거다.