23일 업계에 따르면 지난 19일(현지시간) 마이크로소프트(MS)의 클라우드 컴퓨팅 플랫폼 '애저'(Azure) 장애사태 이후 의 인프라 대상의 사이버 공격 위험성이 대두했다. 특히 세계 최대 시장인 미국 헬스케어업체를 노린 사이버 공격이 증가했다. 미국 보건복지부(HHS)의 민간인권국(OCR) 통계에 따르면 의료데이터 유출건수는 2021년 4590만건, 2022년 5190만건, 지난해 1억3300만건 등 꾸준히 늘고 있다.
앞서 올해 2월 랜섬웨어 공격을 받은 미국 최대 건강보험업체 유나이티드헬스그룹(UHG)의 자회사 체인지헬스케어의 경우 전체 미국인 3분의1에 달하는 1억1000만명 이상의 건강정보가 유출됐을 것으로 예상된다. 정확한 피해규모는 확인되지 않은 상태로 회사는 지난 20일부터 해킹피해를 입은 이들에게 개별 통지하고 있다.
회사는 지난달말 기준 플랫폼 복구비용 등을 포함해 총 19억8000만달러(약 2조7500억원)의 비용을 지출한 것으로 전해졌다. 올해 랜섬웨어 관련 예상 지출비용은 23억달러(약 3조2000억원)에서 24억5000만달러(약 3조4000억원) 사이로 예상된다.
이 가운데 국내 업체는 자체적으로 보안강화에 나섰다. 롯데헬스케어는 MS 장애사태 이후 맞춤형 건강관리 플랫폼 '캐즐'과 관련, 정부와 MS 클라우드를 활용 중인 기업의 대처를 실시간으로 확인하며 업무프로세스에 적용했다. 현재 캐즐은 아마존웹서비스(AWS) 클라우드만 이용해 서비스를 운영 중인데 인프라 2개 이상의 멀티 가용영역(Multi Availability Zone·클라우드 인프라의 물리적 시설분리)을 활용해 재해복구시스템(Disaster Recovery)을 구축했다.
롯데헬스케어 관계자는 "클라우드 인프라 특성을 타지 않는 장애의 경우 현재 운영 중인 리전(AWS의 서비스가 제공되는 서버의 물리적 위치)에서 장애를 인지한 즉시 다른 멀티 가용영역으로 변경, 안정적으로 서비스를 이용토록 설계했다"며 "추후 이용자 증가와 사업확장에 따라 멀티 클라우드(2곳 이상의 클라우드 서비스를 사용하는 것) 체계로 변경도 고려 중"이라고 전했다.
혈당관리서비스 '파스타'를 운영 중인 카카오헬스케어는 국제표준인증인 ISO27001(정보보안) ISO27017(클라우드 보안) 등을 비롯해 미국 의료정보보호법(HIPAA) 보안성 인증을 받았다. 올 하반기엔 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)도 획득할 계획이다.
회사 관계자는 "외부의 위협을 시뮬레이션해 방어효과를 파악하고 잠재 취약성과 보안위험을 식별하는 '레드팀'을 운영, 해킹 대응과 보안점검 작업을 진행 중"이라고 설명했다.
다만 전문인력 부족으로 관리체계 구축이 더디다는 게 업계의 중론이다. 한 국내 헬스케어업계 정보보안관리자는 "IT(정보기술)업계 전반적으로 보안인력이 부족한 상황에서 의료영역에 특화된 전문가가 적다 보니 이를 양성·확충해야 한다"며 "의료데이터는 익명화 단계 등 여러 절차를 거쳐야 하는 데다 엑스레이·CT(컴퓨터단층촬영)·MRI(자기공명영상)·생체신호·수술·로봇 등 다양한 영역에서 데이터가 만들어지는 만큼 각 영역의 데이터 전문성이 필요하다"고 강조했다.
또다른 업계 관계자는 "의료영상·음성, 생체신호 등 각 의료데이터가 개인정보라는 정의 안에 얼마나 포함될 것인지 그 의료영역에 맞춘 개인정보에 대한 새로운 정의가 있어야 한다"고 말했다
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>