“병원이 내 개인정보 유출 구멍”···저가경쟁에 ‘키오스크’ 보안 뒷전

[이뉴스투데이 이승준 기자] IT 요소를 극대화하며 환자의 높은 만족도를 이끌어낸 스마트병원의 열풍이 무색해졌다는 지적이 나온다. 의료기관마다 수납에 쓰이고 있는 키오스크가 업계 내 저가경쟁에 밀려 정작 보안에는 힘을 싣지 못하고 있는 것으로 나타나면서 환자들의 우려를 키우는 모양새다. 

4일 업계에 따르면 글로벌 스마트병원 시장은 2022년 약 410억 달러에서 2030년 약 1533억 달러로 연평균 20% 이상 성장할 것으로 전망되는 의료계 유망한 미래 먹거리다. 스마트병원은 연결된 치료 서비스를 제공하기 위해 IT 기술 전반을 접목시켜 통합의료를 제공하는 기관이다.

스마트병원에 대한 환자들의 만족도도 높은 것으로 나타났다. 지난해 보건복지부는 스마트수술실 구축을 통해 수술장 도착 후 수술방 입실까지 대기 시간이 23분에서 21분으로 8.7% 감소했고, 수술 진행상황 실시간 정보 공유를 통해 보호자의 만족도는 3.45점에서 4.36점으로 개선됐다고 밝혔다.

그러나 보안 업계에서는 스마트병원이라는 이름이 무색하도록 의료계 전반에 개인정보 보안 문제가 산적해 있다고 우려를 표하고 있다. 이들이 그중에서도 특히 보안에 대한 깊은 우려를 나타내는 부문은 의료기관에서 수납이나 증명서 발급 등에 쓰이는 ‘키오스크(무인정보단말기)’다.

의료기관에서의 사용 목적상 키오스크는 다수 환자의 주민등록번호부터 신체 정보까지 다양한 종류의 민감한 개인정보를 다룬다. 하지만 많은 키오스크가 구형 OS를 여전히 사용하고 있을 뿐 아니라 보안 솔루션조차 제대로 갖추지 못했다는 게 보안 업계의 중론이다. 

문제는 키오스크 업계에서 저가경쟁이 만연해 보안 솔루션 탑재조차 좀처럼 어렵다는 점이다. 한 보안 업계 관계자는 “키오스크 업계로부터 전해들은 바에 따르면 그 업계는 저가경쟁이 너무 심해서 조금이라도 금액을 올렸다가는 입찰경쟁에서 밀리기 쉬운 상황”이라고 설명했다.

이어 “고객사들이 보안에 크게 관심 없는 것도 한몫한다”면서 “그들 입장에서는 ‘그동안 문제가 없었는데 굳이 보안을 강화해야 하나’ 싶은 것”이라고 설명했다. 그러면서 “조금이라도 낮은 가격으로 입찰하려는 업체들이 즐비하니 큰 메리트를 못 느끼는 듯해 보였다”고 꼬집었다.

키오스크 보안 업계에서도 보안 의식이 지적됐다. 이기복 파라솔 대표는 “필드에서 영업해본 바로는 키오스크 보안에 관심 있는 쪽이라 하더라도 가정에서 쓰는 정도의 백신으로 해결이 된다 생각하는 편이었다”며 “보안에 예산을 쓰는 키오스크 업체가 극히 드물다”고 봤다.

이미 키오스크가 정보 유출 창구가 된 사례도 있다. 지난 2021년 5월 정부 주도로 진행한 정보보안시스템 점검 훈련에서는 화이트해커가 대형병원에서 진료를 접수하는 키오스크를 해킹해 환자의 주민등록번호, 주소, 연락처 등 개인정보 100만여건을 획득한 바 있다.

보안 업계 관계자는 “최근 가족이 대학병원에 입원하고 수술을 예정하면서 수납이나 증명서를 발급할 일이 많아져 키오스크 사용이 늘었는데, 보안 업계 종사자로서 지켜봤을 때 너무 허술해 보였다”면서 “마음만 먹으면 뒤에서 훔쳐보는 것도 가능한 수준”이라고 우려했다.

실제로 해당 관계자의 보호자가 입원한 병원도 스마트병원 시스템을 도입한 의료기관 중 하나로 전해졌다. 스마트병원 시스템이 각광받기 시작하면서 서울아산병원, 세브란스병원, 삼성서울병원, 서울대병원, 서울성모병원 등 이른바 ‘빅5’ 병원들은 잇달아 스마트병원을 표방했다.

이 같이 의료기관들이 IT 체계를 고도화시켜 나가는 가운데서도 키오스크에서 보안 허점이 발생한 원인으로는 ‘저가경쟁’이 지목된다. 키오스크 업계가 저가경쟁에 휘말려 있어 소액의 단가 인상에도 고객사들이 민감히 반응, 입찰 과정에서 우위를 점할 수 없는 것으로 알려졌다.

여기에 최근 의료기관을 대상으로 한 사이버 범죄 시도가 두드러지면 우려를 키우는 분위기다. 해커들에게 의료기관은 범죄수익을 창출하기 쉬운 먹잇감으로 꼽힌다. 민감한 개인정보를 담고 있고 대형 의료기관일수록 리스크가 커 ‘몸값 지불의사가 높은 타깃’으로 인식되고 있다. 

그러나 의료정보보호센터 보안관제 서비스에 가입한 의료기관은 소수. 45개 상급종합병원 중 한국사회보장정보원 보안관제 서비스에 가입한 의료기관은 15개소에 불과하다. 교육부가 운영하는 보안서비스에 가입한 12곳을 제외하면 18개소가 여전히 위험에 고스란히 노출돼 있다.

전문가들 사이에서는 ‘인프라’가 원인으로 꼽힌다. 김승주 고려대 정보보호대학원 교수는 “일반화시키기에는 문제가 있지만 그런 병원이 있다면 예산이 부족해서 그런 게 아닌가 싶다”면서 “병원에는 일반적인 기업에 비해 보안 전문가가 많지 않다”고 설명했다.

그러면서 “전체적인 보안 시스템을 구축할 때 제안요청서를 꼼꼼히 체크하지 못하는 경우가 많다”며 “제안요청서가 나가면 업체는 그에 맞출 뿐”이라고 덧붙였다. 또 “병원에 보안총괄책임자가 제대로 없거나 전문성이 없는 이가 책임자인 경우도 있다”고 지적했다.