의료계 사이버 보안 위기, 기술 아닌 구조적 문제

최근 미국 매사추세츠주 브록턴 병원에서 사이버 공격으로 정보 시스템이 마비되는 사태가 발생했습니다. 이로 인해 암 환자들이 항암 치료를 받지 못하고 귀가하는 상황이 벌어졌습니다. 응급실이 폐쇄되고 구급차 경로가 변경되는 등 의료 현장의 혼란이 커졌으며, 의료진은 모든 기록을 수기로 작성하며 업무를 대체했습니다.

지난 2024년 발생한 어센션(Ascension) 랜섬웨어(Ransomware, 몸값을 요구하는 악성 소프트웨어) 공격은 136개 병원의 시스템을 6주 동안 마비시켰습니다. 또한 체인지 헬스케어(Change Healthcare) 해킹 사건은 1억 명의 개인 건강 정보를 유출했습니다. 이 사건은 병원 청구 시스템을 붕괴시켜 다수의 의료기관을 운영 중단 위기로 몰아넣었습니다.

의료 인프라가 해커의 인질이 되면 가장 큰 피해는 환자에게 돌아갑니다. 항암 치료나 심장 초음파 같은 필수 의료 서비스가 중단됩니다. 응급 상황에서 환자의 약물 알레르기 정보를 확인할 수 없는 등 생명과 직결된 위험이 발생합니다.

보안 연구원이자 환자 옹호가인 안드레아 다우닝은 이러한 문제가 기술적 결함보다 구조적 결함에서 기인한다고 지적합니다. 보안 취약점을 발견하고 해결하는 과정이 매우 더딥니다. 의료 시스템 내의 복잡한 이해관계가 신속한 대응을 가로막습니다.

최근 인공지능(AI) 기술 발전으로 소프트웨어 취약점을 찾아내고 공격하는 속도가 비약적으로 빨라졌습니다. 앤스로픽(Anthropic)이 공개한 AI 모델은 스스로 소프트웨어 취약점을 발견하고 공격 코드를 생성할 수 있습니다. 이러한 기술이 악용되면 의료계의 방어 체계는 무력화될 가능성이 큽니다.

클라우드 보안 연합(Cloud Security Alliance, CSA) 보고서에 따르면 취약점이 공개된 후 실제 공격이 발생하기까지 걸리는 시간은 하루 미만입니다. 그러나 의료기관은 여전히 공급업체의 패치(Patch, 소프트웨어 수정 프로그램)를 기다려야 합니다. 규제 기관의 승인 절차를 거쳐야 하므로 대응 속도가 현저히 느립니다.

대형 대학 병원과 달리 자원이 부족한 지역 사회 병원이나 중소 규모 의료기관은 노후화된 장비와 적은 정보기술 인력으로 인해 사이버 공격에 더욱 취약합니다. 이들은 보안 패치를 적용할 협상력이나 여력이 부족합니다. 공격 발생 시 가장 늦게 복구되며, 그 피해는 고스란히 환자에게 돌아갑니다.

이 기사는 일반적인 건강 정보를 제공하며, 의학적 조언을 대체하지 않습니다. 구체적인 건강 문제는 의료 전문가와 상담하십시오.

의료계의 사이버 보안 문제를 해결하려면 개별 병원의 노력을 넘어선 구조적 변화가 필요합니다. 환자의 안전을 최우선으로 고려하여 디지털 인프라를 보호할 정책적 지원이 뒷받침되어야 합니다. 공급업체와 의료기관이 협력하여 신속하게 대응할 체계를 구축해야 합니다.

출처: Cloud Security Alliance(CSA) 보고서, Anthropic 기술 발표 자료, 주요 외신 보도 종합.