Medical, Heath

전자의료정보, 디지털시대 과연 안전하게 관리될 수 있을 것인가?

장종엽엔에스 2015. 2. 11. 09:06

KISTI 미리안 글로벌동향브리핑 2015-02-11
현재 전 세계 선진국들에서는 디지털정부 서비스의 일환으로 환자들의 의료기록을 전자화시키는데 주력하고 있으며, 또 이를 활용한 대민지원서비스를 활성화시키고자 의료기록의 통합전산화를 추진하고 있는 추세라 하겠다. 과연 이러한 전자의료기록이 이들이 주장하는 것처럼 편리한 정보서비스를 환자들에게 제공해줄 수 있는 것 외에 환자들 개개인의 정보가 안전하게 보호받을 수 있을 것인지에 대한 논란은 수그러들고 있지 않다 하겠다.

최근 사이버해커들이 미국의 거대 건강보험사인 Anthem社로부터 8천만 명에 육박하는 개인사용자 정보를 유출시킨 것으로 나타났으며 이는 헬스케어 서비스제공업체에게 있어 가장 큰 사이버보안사고로 기록될 것으로 보인다.

Anthem社는 미국 내 2번째로 큰 건강보험사로 알려져 있으며 3천 7백만 명의 가입자와 이들의 가족들에 대한 보험서비스를 제공하고 있는 업체라고 한다. 해당 기업은 사이버범죄자들로 인해 수 천만 건에 달하는 고객들의 개인정보와 관련된 기록들이 도난당한 것 같다는 의심사실을 발표하기에 이르렀다고 한다.
[참고: http://www.wsj.com/articles/health-insurer-anthem-hit-by-hackers-1423103720]

이번 해킹사고로 인해 유출된 정보에는 성명, 생년월일, 사회보장번호가 포함되어 있는 것으로 나타났는데, 현재로서는 의료관련 데이터나 재정적인 정보들이 취득되었는지에 대한 여부는 밝혀지지 않은 상황이라고 한다.

만일 사이버범죄자들이 이러한 개인정보를 은밀하게 거래하는 암흑시장으로 해당 정보가 넘겨지게 되었다는 것을 가정해보았을 때는 신용정보를 활용해 사기 및 위.변조를 일삼는 범죄집단에게 그 정보가 팔려나갈 수 있을 잠재성을 무시할 수 없을 것으로 보인다. 하지만 Anthem社는 이러한 우려스러운 일이 아직까지는 벌어지지 않을 것이라 믿고 있는 것으로 보인다.

월스트리트저널의 보도에 의하면 앞선 정보유출사고는 지난주 발생했다고 한다. Anthem社의 최고정보관리자인 Thomas Miller씨는 현재 어떻게 해커들이 내부의 네트워크들로 침투하게 되었는지를 확실히 알아내지 못한 것으로 나타났으며, 시스템관리자가 자신들의 이름으로 동작하고 있는 시스템 쿼리 상에서 초기화되지 않는 이상현상을 발견한 것이 전부라는 설명을 덧붙였다고 한다.

Anthem社는 이번 정보유출사고의 피해자가 된 모든 고객들과 연락을 수립하기 위한 계획에 이미 착수한 것으로 나타났으며 이들 고객들의 개인정보와 관련된 데이터들을 보호하기 위해 고객들이 취해야 할 선행조치에 대한 정보를 제공할 준비를 마친 상황이라고 한다.

웹 보안솔루션업체인 Bloxx社의 최고정보관리자인 Charles Sweeney씨는 Anthem社의 정보유출과 관련된 사안을 공공에 알린 사실에 대해 환영의 입장을 밝히고 있으나 이번 사고를 통해 유출된 개인정보의 양이 너무도 방대하다는 사실에 우려의 목소리를 내고 있는 것으로 나타났다. 물론 Anthem社의 고객들이 자신들의 재무관련 도는 건강관련 데이터들이 도난당하지 않았다고 여기는 것에 안도할 수는 있을 것이지만, 실제 너무도 많은 개인정보 관련 데이터들이 심각한 위험에 노출되어 신용정보와 관련된 도난사고에 대해 의심의 여지가 없다는 것에 대해서는 걱정해야 할 것이라는 의견을 내놓은 것이라 하겠다.

이는 Anthem社가 자사의 고객들에게 앞으로 향후 수 주간에 있어 어떠한 의심스러운 정황이 포착되었을 때 이를 경고하거나 도움을 줄 수 있는지를 안내하였을 것이라고 믿고 있으며 미국의 연방수사국 또한 해당 사고를 이미 조사하기 시작하였으며 Anthem社에 대한 사이버침투행위에 대한 조사를 비롯해 해당 사건을 심도있게 조사하고 있는 단계라고 알려졌다. 연방수사국 또한 헬스케어 제공업체로서 자사의 고객정보가 유출된 즉시 즉각적으로 연방수사국에 알린 점을 치하하고 있으며 향후 네트워크 활동에서 어떠한 징후가 포착되는지를 예의주시하고 있다고 한다.

연방법의 예를 들어볼 때, 기업 및 단체들은 사이버공격이 발견된 직후 60일 내 이를 보고해야 하는데, 법률에서 요구되는 바 보다도 더욱 빠른 속도로 데이터유출과 관련된 사고를 공공에 알린 점이 눈여겨볼 만한 일이라 할 수 있겠다.

이 외에도 미국의 대형 투자은행인 JP Morgan社에 대한 사이버공격으로 인해 8천 3백만 가구의 정보가 도난당한 사건의 경우에는 이들은 수어 달이 지나도록 고객들에게 이를 알리지 않고 숨겨온 것과 대비해볼 때, 기업들의 민첩하고 발빠른 사이버공격에 대한 대비책 마련이 시급한 것으로 보인다.