서울대학교 병원 개인정보 유출 사례

어느 순간부터 어딜 돌아다니기가 무서울 만큼 추운 날씨가 계속되고 있는데요. 아직 12월이 오지도 않았는데 이렇게 추우면 다음 달에는 얼마나 추운 날씨가 이어질지 걱정이 됩니다. 오늘은 지난 에세이와 마찬가지로 개인정보 유출 사례에 대해 말씀드릴텐데 이번에는 서울대학교 병원입니다. 이전에 한국원자력연구원이나 항공우주산업과 같은 국가보안시설을 위주로 공격이 빈번하게 발생했는데, 이제는 의료 업계에도 공격이 증가하고 있는 것으로 보이는데요. 그럼 이에 대해서 간단히 설명드려보죠.

​

이전 글인 "유명 성형외과 랜섬웨어 공격 사례"에서 의료 업계는 랜섬웨어와 같은 악성코드 공격을 받으면 상당히 피해가 크다고 말씀드렸죠. 물론 이번에 말씀드리는 사례는 의료 시스템 운영이 마비된 사례가 아닌 개인정보 유출이지만, 이로 인해 피싱이나 스미싱 같은 2차 피해로 이어질 수 있어서 우려되는 상황입니다. 특히 이번 서울대학교 병원에서는 병원을 방문할 때 입력하는 이름이나 주민등록번호, 연락처, 거주지 같은 정보가 담긴 파일이 유출되었다고 합니다. 아무래도 평문 상태로 유출된 것으로 추측되는 상황이기 때문에 유출된 분들은 각별히 더 조심해야 할 것으로 보입니다.

​

의료 업계에서 사용하는 전산망은 특히 꽤 오래된 시스템을 사용하고 있는 것으로 유명한데요. 특히 얼마 전에 갔던 동네 치과에서는 환자의 정보를 입력하고 관리하는 프로그램이 아직도 윈도우 XP 운영체제에서 돌아가는 걸 보고 경악을 금치 못했던 일이 있었습니다. 물론 해당 정보가 내부적으로만 사용하고 있다고 해도, 환자의 진료 정보를 건강보험공단에 넘기는 과정에서 반드시 해당 시스템에 접근하게 될텐데 이런 부분까지 세밀하게 관리가 되고 있을지는 미지수죠. 아마 이번 사례도 오래된 의료 시스템의 취약한 부분을 찾아 개인정보 파일을 외부로 쉽게 유출할 수 있지 않았을까 생각됩니다.

 

서울대학교 병원, 해킹당해 환자정보 유출

물론 위에서는 의료 업계에서 사용하는 시스템이 상당히 취약한 구조로 되어 있는 것처럼 설명드렸지만, 서울대학교 병원과 같은 상급종합병원의 경우 ISMS(정보보호 관리체계) 인증을 의무적으로 받도록 되어있고, 직원들도 주기적으로 보안 점검을 받을 것으로 생각됩니다. 하지만 이번 개인정보 유출 사건만 봐도 개인정보 암호화가 제대로 이루어지지 않은 것으로 보이기 때문에, ISMS 인증을 받았다고 해서 해킹 공격으로 부터 완전히 자유롭다고 할 수 없겠죠. 특히 의료 업계 같은 경우 환자의 생명과 직결될 수 있기 때문에 보안 사고에 대해서 좀 더 면밀히 대응할 수 있어야 한다고 봅니다. 기회가 된다면 추후 ISMS 인증에 대해서도 다뤄보도록 하고, 오늘 에세이는 여기서 줄이도록 하겠습니다. 감사합니다.