지난 수십년간 대소 기업체와 정부기관과 일반개인들을 두루 괴롭혀 온 사이버공격(해킹)이 최근 몇 년간은 대형 의료기관들을 최우선 공격목표로 삼고 있다고 시애틀타임스가 보도했다.

연방 보건복지부가 지난 12월 발표한 보고서에 따르면 작년 1월부터 10월 사이에 전국애서 총 8,800여만명의 의료관련 데이터가 사이버공격으로 유출됐다. 특히 대형 의료기관들이 해킹 당해 개인정보가 누출된 사례는 2018년부터 2022년 사이 갑절에 가까운 93%나 늘어났다.

워싱턴주에선 지난 3개월간 13개 의료기관이 해킹 당했다고 주 법무부에 신고했다. 관련 주법은 해킹 피해자가 500명 이상일 경우 당국에 보고토록 규정하고 있다. 지난해 법무부에 신고된 해킹 피해건수는 기록적으로 많았던 이전 두해보다 적지만 팬데믹 이전보다는 여전히 많았다.

전문가들은 해커들이 대형 의료기관을 호구로 삼는 이유는 수많은 환자들의 이름, 주소, 소셜시큐리티 번호, 치료기록, 재정상태 등 엄청난 양의 정보가 쌓여 있고, 매일 24시간 작업을 하며, 보안을 매우 중시해 보상금을 뜯어낼 수 있는 확률이 높다고 보기 때문이라고 설명했다.

워싱턴대학(UW)의 보건안보 전문가인 기싸 타밀라라스 교수는 해커들이 빼낸 정보로 환자들의 처방약을 불법 구입할 수 있고, 보험금을 신청할 수도 있으며, 신분도용 범죄조직과 공조하거나 해당 정보를 온라인으로 매각할 수도 있다고 말했다. 그녀는 범인들이 신용카드를 개당 1~5달러에 판다면 위조된 의료기록은 400~500달러에 판매한다는 조사보고서가 있다고 덧붙였다.

타밀라라스 교수는 요즘 환자의 신상정보와 치료과정을 종이에 기록하는 병원은 없다고 지적하고 업무의 디지털 전환으로 일이 간편해지고 더 많은 정보를 수록하게 됐지만 그만큼 보안의 취약성도 높아졌다고 설명했다. 그녀는 의료기관에 대한 사이버공격의 피해는 다른 어느 분야보다 심각하다며 데이터나 금전상의 피해를 넘어 환자의 생명까지 위협할 수 있다고 지적했다.

연방 조국보안부 산하 사이버-인프라 보안청(CISA)의 크리스 캘라한 서북미 담당국장은 시애틀타임스와의 인터뷰에서 해킹 피해가 하찮은 이메일에서 종종 시작된다고 말했다. 그는 한 직원이 눈에 익은 이름의 이메일을 무심코 열어서 링크를 클릭할 경우 해커들은 이를 조직 전체 컴퓨터 네트워크에 침투하는 첫 관문으로 이용한다며 모든 기업체와 정부기관들은 직원들의 사이버공격 방어교육과 경각심 제고 훈련을 강화해야 한다고 강조했다.

캘라한 국장은 병원들이 사이버 공격에 대비하는 가장 쉬운 방법으로 ▲직원들에게 피싱을 가려내고 보고토록 할 것 ▲까다로운 패스워드(암호)를 사용할 것 ▲본인인증 절차를 강화할 것 ▲소프트웨어를 자주 업데이트 할 것 등을 권고했다.