병원 해킹으로 도난 당한 환자의 개인 정보가 신원 도용 및 사기에 악용되고 있어 우려의 목소리가 커지고 있다. 

미시건주립대학과 존스홉킨스대학이 2009년 10월 21부터 2019년 7월 1일까지 병원 해킹으로 인해 유출된 데이터 도난을 조사한 결과, 1,388개 시설에서 1,461회 해킹이 발생한 것으로 확인됐다.

노출된 정보 발견

연구팀은 병원 데이터를 3가지 카테고리, 인구통계학(성명, 이메일, 기타 개인자료), 금융 정보(서비스 데이터와 지불 정보), 의료 정보(진단 및 치료법)로 분류했다.

그리고 신분 도용이나 금융 사기에 사용될 수 있는 주민등록번호와 운전면허를 민감한 인구통계 정보로, 신용카드번호와 은행계좌번호를 민감한 금융 정보로 세분화했다.

수석 저자인 존 지앙 교수는 "의료 정보 내에서는 사생활 보호에 영향을 미칠 수 있는 약물 남용과 HIV, 성매개질환, 정신건강, 암과 같은 정보를 민감한 의료 정보로 분류했다"고 말했다.

이번 연구에 따르면, 지난 10년 동안 병원에 저장된 민감한 인구통계 및 금융 데이터의 70%가 해킹 피해를 입었다. 해커는 환자의 신원을 훔쳐 환자의 이름을 사용해 금융 사기를 저질렀다.

그리고 해커 때문에 총 1억 6,900명의 정보가 노출됐으며 그 중 200만 명은 민감한 의료 정보를 도난 당했다.

침입

연구팀은 해킹 사건을 보고하기 위해 미국 후생성(HHS)의 데이터를 사용했다. HHS 또한 온라인으로 500명 이상의 정보 침입됐다고 발표했다.

또한, 2009년 10월부터 2019년 7월까지 발생한 모든 해킹 사건은 최소 한 가지 이상의 인구통계학적 데이터와 관련이 있다는 사실을 확인했다. 그리고 964건의 해킹 사건에 연관된 1억5,000만 명의 정보가 취약해졌다고 밝혔다.

해킹 사건 중 35%(513건)는 금융 정보 피해로 이어졌다. 그리고 16%는 의료 정보 피해로 이어져 600만 명의 환자가 피해를 입었다.

지앙 교수는 "정보가 취약해지면 대부분의 환자는 금융 또는 신원 피해를 입게 된다"며 "해커들은 이 정보를 불법 소득 신고 혹은 신용카드 발급 등에 사용한다"고 덧붙였다.

연구팀은 해킹으로 노출된 의료 정보를 종류별로 분류해 해킹으로 인한 정확한 피해 규모를 파악했다.

환자 데이터 보호

연구팀은 의료 기관이 민감한 환자 정보를 보호할 수 있는 방안을 강구하는 데 분석 결과를 사용할 수 있을 것이라고 밝혔다.

공동 저자인 게 바이 교수는 "해커들이 원하는 것을 이해하지 못한다면 이 전쟁에서 이길 수 없다"며 "해커들이 훔쳐간 정보를 파악해 환자 정보를 보호할 수 있는 방법을 강화할 수 있다"고 전했다.

HHS 같은 의료 당국은 공식적인 회의를 주재해 시민들이 가능한 한 피해를 입지 않도록 해킹 사건을 방지할 수 있는 방안을 강구해야 한다고 연구팀은 주장했다.

그리고 침입 사건의 절반 이상이 내부의 실수 혹은 부주의에서 발생한 사건이었다고 지앙 교수는 말했다. 여기에는 컴퓨터를 암호화하지 않고 퇴사 직원의 로그인 자격을 박탈하지 않은 것도 포함된다.

정보 보안에 중점을 두면 데이터 침입 위험을 효과적으로 줄일 수 있을 것이라고 지앙 교수는 설명했다. 그리고 HHS가 최근 제안한 데이터 공유 규정은 민감한 정보를 취약하게 만들 소지가 있다고 덧붙였다.

따라서 HHS 제안 대신에 독립 데이터 공유 시스템을 사용할 것을 권했다. 예를 들어, 하나의 저장 및 공유 시스템을 의료 제공자와 연구자만 접근할 수 있게 만들고 병원 행정 직원들은 또 다른 시스템에서 인구통계 및 금융 정보만을 독자적으로 저장 및 공유하는 방법이다.