교육부-국정원이 합동으로 보안 취약점 개선 요구했음에도 시행 안돼
시스템 전체 보안관리 업체에 일임만…보안 준수 사항 점검도 미 실시
서울대병원 교육부 감사서 '기관 경고' 및 관련자 '경징계' 등 처분 받아
서울대학교병원이 2021년 해킹으로 인해 다량의 의료정보(환자의 개인정보 등)가 유출된 사안에 대해 교육부와 국가정보원이 합동으로 조사를 실시한 후 보안취약점 개선을 요구했음에도 이를 3개월 여 방치했던 것으로 드러났다.
서울대병원은 지난해 7월 12일 병원을 이용한 환자들에게 '사이버공격에 의한 개인정보 유출(의심)에 대한 안내'를 통해 "2021년 6월 악성코드 감염을 통해 발생했던 사이버 공격에 대한 수사 과정에서 일부 환자정보의 유출 정황이 추가로 확인됐다"고 밝혔다.
이같은 해킹 사실이 알려지자 서울대병원을 이용한 환자들은 물론 진료정보가 해킹된 것에 대해 국민들은 불안에 떨었다.
당시 서울대병원은 안내문을 통해 "병원등록번호, 환자명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사결과의 정보가 유출 가능성이 높은 것으로 추정하고 있으며, 주민등록번호, 핸드폰번호, 주소, 영상검사나 사진 등의 검사결과는 유출되지 않았다"고 밝혔다.
그러면서 "유출 정황에 대해 인지한 즉시 해당 IP와 불법접속 경로를 차단하고 취약점 점검과 보안 조치를 완료했으며, 현재까지 해당 정보가 외부에서 발견되거나 이용된 사례는 확인되지 않고 있다"고 설명했다.
다만 "혹시 모를 피해의 최소화를 위해 개인정보 유출로 인한 피해 의심 정황 시 적극적인 신고를 해달라"고 당부했다.
서울대병원은 "환자들의 개인정보 보호를 위해 최선의 노력을 다하고 있으며, 2차 피해가 발생하지 않도록 관계 부처와 긴밀하게 협조해 조사가 진행 중에 있다"고 밝혔다.
이어 "개인정보보호와 관련해 불미스러운 일이 발생한 점 깊이 사과드리며, 향후 유사한 사례가 발생하지 않도록 더욱 최선을 다하겠다"고 약속했다.
서울대병원 발표에 앞서 대학병원 해킹 사실은 교육부가 먼저 알렸다. 교육부는 지난해 6월 3일 서울대병원 발표에 앞서 국립대병원이 사이버위협에 신속하게 대응해 예방 및 피해를 최소화할 수 있도록 '국립대학병원 정보보호 강화 방안'을 국가정보원과 마련하는 등 대책 마련에 집중하고 있다고 밝혔다.
교육부의 발표가 있은 후 1개월여가 지난 후 서울대병원이 해킹 사실을 안내하자 국민들의 비난이 거셌다.
게다가 서울대병원은 환자의 진료정보가 유출됐음에도 보안상 취약한 부분을 수 개월 방치해 행정상 조치를 당한 사실이 뒤늦게 알려져 자체적인 대응이 미흡했다.
이같은 사실은 '2022년도 서울대병원 자체감사 결과 보고서'에서 확인됐다.
서울대병원 자체감사 결과 보고서에 따르면, 서울대병원은 2021년 6월 해킹이 발생한 후 같은해 7월 교육부와 국가정보원으로부터 조사를 받았다. 또 3개월 후 교육부로부터 정보보안감사(2021년 10월 18일~10월 20일)도 받았다.
교육부는 정보보안감사를 진행한 후 "교육부-국가정보원 합동 조사 때 보안 취약점 방치 및 보안용역관리 부적정 문제를 지적받았으나 제대로 처리되지 않아 '기관경고' 를 비롯해 관련자는 '경징계'·'경고' 등의 조치를 내렸다"고 밝혔다.
당시 교육부는 정보보안감사를 통해 "병원이 2차례에 걸쳐 사이버 침해사고를 당했고, 이로 인해 다량의 의료정보가 유출된 사안에 대해 교육부가 국가정보원과 합동으로 조사를 실시해 보안취약점 개선을 요구했음에도, 계획을 수립해 조치하겠다는 ㈜00000의 조치사항 보고에 대한 검증 없이 병원 시스템의 보안관리 전체를 업체에 계속 일임한 결과 서울대병원의 일부 보안취약점이 방치됐다"고 지적했다.
또 "정보시스템 유지보수 계약을 체결하면서 보안 취약점 방치 금지 등 항목을 계약내용에 포함하지 않았고, 사이버 침해사고 발생에 따른 다량의 의료정보 유출 이후 서울대병원의 보안 취약점이 방치되고 있음에도 보안 준수사항 점검을 실시하지 않았다"고 꼬집었다.
더군다나 "㈜00000은 2017년 2월 7일 서울대병원 차세대 의료정보시스템 구축 회의를 통해 DB 암호화를 완료한 것으로 병원에 보고했으나, 2차 합동 조사 결과 시스템 내 여전히 주민번호 등 개인 의료정보가 암호화되지 않은 채 방치됐다"고 밝혔다.
서울대병원은 교육부 정보보안감사 후 보안 전문인력 및 팀 신설 등의 조치를 2022년 1월부로 완료했다고 밝혔다.
이와 함께 ▲관련 홈페이지 및 시스템 취약점 점검 및 조치 완료 ▲정보보안시스템 신규도입 및 확충 완료 ▲공격자 IP 및 접속경로 차단 완료 ▲관련 시스템 네트워크 분리, 취약점 점검 및 조치 완료 ▲내부 중요서버 및 장비 등을 외부접점(인터넷 등)으로부터 보호가능토록 보안장비 정책 강화 ▲임직원 대상 사례전파 및 개인정보파일 관리 강화 등도 완료했다.
한편, 서울대병원은 2021년 해킹 사건으로 올해 개인정보보호위원회로부터 과징금 처분도 받았다.
개인정보보호위원회는 지난 5월 10일 전체회의에서 14개 공공기관의 개인정보보호 법규 위반에 대해 심의, 서울대병원과 국토교통부 등 2개 기관에는 공공기관 최초로 과징금을 부과키로 의결했다.
개인정보보호위원회는 안전조치의무 위반 정도가 상대적으로 중대한 서울대병원에는 7475만원의 과징금과 과태료를 함께 부과했다.