의료계, 사이버 공격의 최전선에 서다

미국 의료기관의 92%가 지난해 사이버 공격을 경험했습니다. 병원과 의료 제공자, 학술 의료센터, 보험사, 제약사, 의료기기 제조사 등 의료 생태계 전반이 해커들의 표적이 되고 있습니다.

문제는 단순히 정보 유출에 그치지 않습니다. 환자 안전이 직접적으로 위협받고 있습니다. 치료가 지연되고, 수술이 미뤄지며, 의료 시스템 전체가 마비되는 상황이 현실로 나타나고 있습니다.

복잡한 규제 환경, 의료계의 또 다른 부담

미국 의료 산업은 사이버 위협과 싸우면서 동시에 복잡하게 얽힌 규제의 미로를 헤쳐나가야 합니다.

연방 차원의 규제만 해도 여러 기관에 걸쳐 있습니다. 보건복지부(HHS), 식품의약국(FDA), 메디케어·메디케이드 서비스센터(CMS), 국가 코디네이터 사무소(ONC) 등이 각각 다른 기준과 가이드라인을 제시합니다.

여기에 산업 표준 프레임워크도 준수해야 합니다. 미국 국립표준기술연구소(NIST)의 사이버보안 프레임워크 2.0, 신용카드 거래를 위한 PCI DSS 같은 규정들입니다.

침해 사고 보고 의무는 또 다른 복잡성을 더합니다. 의료기관의 활동 유형에 따라 서로 다른 연방 규정이 적용되며, 각각 다른 시간 제한과 기준을 가지고 있습니다.

사이버 공격의 실체: 누가, 어떻게

의료계를 노리는 사이버 공격은 다양한 출처에서 발생합니다.

국가 지원 해커 조직부터 국제 범죄 조직, 그리고 내부자 위협까지, 공격 주체도 다양합니다. 공격 방식 역시 랜섬웨어, 제로데이 익스플로잇, 이메일 피싱, 내부자 공격 등 갈수록 정교해지고 있습니다.

사이버 공격이 미치는 3가지 영향

1. 환자 건강 가장 심각한 문제는 환자 안전입니다. 임상 진료가 중단되고, 치료와 수술이 지연되며, 환자 안전이 위태로워집니다.

2. 시스템 전체 운영 기술 혁신과 도입으로 의료기관들은 서로 긴밀하게 연결되어 있습니다. 한 의료 제공자에 대한 사이버 공격이 보험사, 제휴 진료 그룹, 환자에게까지 영향을 미칩니다. 시스템 다운타임은 수개월까지 지속될 수 있습니다.

3. 운영 비용 의료 데이터 침해의 평균 비용은 14년 연속 모든 산업 부문 중 가장 높습니다. 사이버 공격은 의료 운영에 불균형적으로 큰 재정적 타격을 입힙니다.

의료리더십협의회와 기밀성연합의 제안

의료리더십협의회(HLC)와 기밀성연합은 민간과 공공 부문 간의 협력적 접근을 제안합니다.

핵심은 사이버보안 책임을 명확히 정의하고 공유하는 것입니다. 환자 안전을 보호하기 위한 상호 책임을 만들고, 국가가 의존하는 의료 시스템을 지원하자는 것입니다.

새로운 협력 모델의 필요성 [AI 분석]

현재의 복잡한 규제 환경은 의료기관들에게 과도한 부담을 지우고 있습니다. 서로 다른 기관의 중복되는 요구사항들은 실질적인 보안 강화보다는 규제 준수에 더 많은 자원을 소모하게 만들 가능성이 높습니다.

통합된 프레임워크 개발이 필요합니다. 민관 협력을 통해 단일하고 명확한 사이버보안 기준을 수립하고, 침해 보고 절차를 표준화할 가능성이 큽니다.

또한 정보 공유 체계 강화가 중요합니다. 정부가 실시간 위협 정보를 의료기관과 공유하고, 의료기관들도 공격 패턴과 대응 경험을 서로 나눌 수 있는 안전한 채널을 구축할 필요가 있습니다.

재정 지원과 기술 지원도 협력의 핵심 요소가 될 것으로 보입니다. 특히 소규모 의료기관들은 고비용의 사이버보안 인프라를 독자적으로 구축하기 어렵습니다. 정부 차원의 지원이 전체 의료 생태계의 보안 수준을 높이는 데 기여할 가능성이 높습니다.