[지디넷코리아]
지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 ‘디지털 신뢰’를 단단히 구축하는 일입니다. 지디넷코리아는 “AI 기술이 서 말이라도 보안으로 꿰어야 보배”라는 슬로건 아래, 약 두 달간 ‘2026 디지털 트러스트’ 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 ‘안전한 AI 생태계’를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주]
헬스케어와 AI 기술의 접목으로 의료정보(의료데이터) 활용 논쟁도 새로운 국면을 맞이하고 있다. 의학 발전과 미래 성장 동력 확보를 위해 규제를 완화해야 한다는 목소리가 높지만, 현장의 보안 실태는 기술의 속도를 따라가지 못하고 있기 때문이다.
전문가들은 의료정보가 유출될 경우 사후 수습이 불가능한 ‘치명적 민감 정보’인 만큼, 공격을 버텨낼 수 있는 강력한 보안 인프라 구축이 선행돼야 한다고 입을 모은다.
의료데이터의 가치가 높아지면서 이를 노리는 사이버 공격은 급증하고 있다. 한국사회보장정보원이 지난달 발간한 이슈&트렌드 ‘의료기관 진료정보 보호를 위한 제언’(박홍석 고려대의료원 의학지능정보본부장)에 따르면 국내 의료기관 침해사고 인지 건수는 2020년 18건에서 2024년 71건으로 약 4배 증가했다.
대표적으로 ▲서울상급종합병원 웹셸 공격으로 약 83만명 개인정보 탈취(2021년, 북한 소행 추정) ▲지방상급종합병원 권역심뇌혈관질환센터 관리자 페이지 해킹 및 텔레그램 공개(2024년 11월) ▲대한결핵협회 백업 개발 서버 해킹 15만여명 정보 해외 유출(2024년 9월) 등이 있으며, 특히 2026년 2월 국내 상급종합병원의 전산망이 잇따라 랜섬웨어에 감염된 사건은 국내 의료기관 사이버 위협이 현실화되고 있는 사례로 지적되고 있다.
특히 최근에는 단순히 데이터를 탈취해 다크웹에 판매하는 수준을 넘어, 병원 전산망 전체를 마비시켜 인명 인질극을 벌이는 랜섬웨어 공격이 현실화되고 있다.
문제는 의료기관 간의 극심한 ‘보안 양극화’다. 보안 인력과 예산이 비교적 풍부한 상급종합병원의 경우 제로 트러스트(Zero Trust) 접근 통제나 실시간 이중화 백업 시스템을 도입하며 방어벽을 높이고 있다. 반면 보안 예산이 연간 2천만~5천만원 선에 불과한 중소병원과 의원급 의료기관은 해킹 공격에 더욱 취약하다.
2024년 의료기관 보안관제(ISAC) 탐지 기준 상급종합병원에 대한 침해 시도가 5만7623건(76%)으로 집중되어 있으나, 실제 침해사고 발생은 의원급(49.5%)에서 가장 높았다. 또 2024년 진행된 한 실태조사(표본 135개 기관)에서는 예산 부족(53.5%)과 전문인력 부족이 보안체계 도입・운영의 주된 장애요인으로 나타나기도 했다.
의료 보안의 위협은 단순한 외부 해킹에만 그치지 않는다. 내부 직원의 관리 부실이나 오작동으로 인한 ‘인적 오류’가 대규모 유출로 이어지는 사례가 적지 않다.
지난 3월 소위 빅5 병원 중 하나인 서울대학교병원에서는 병원 직원 간 메일을 발송하던 중 오입력으로 1명의 수신자에게 잘못 발송돼 논란이 된 바 있다. 당시 메일에는 산모와 신생아의 식별정보(이름·환자번호·산모 생년월일 등), 임신 관련 정보, 출산이력, 태아 이상 및 선천성 질환 정보, 신생아 질환 및 합병증 정보, 산모(보호자) 배경 및 생활정보(직업·소득수준 등) 등 민감정보가 대거 담긴 것으로 알려졌다.
병원 측은 메일 수신자 및 메일 운영자에게 삭제를 요청했고, 개인정보보호위원회와 교육부에도 신고했다고 밝혔지만, 정보가 유출된 당사자의 불안감을 해소할 방안은 사실상 없는 것이 현실이다.
또 코로나19 이후 의료진의 원격 진료나 재택근무, 유지보수 업체의 원격 접속이 늘어나며 다크웹 등에서 유출된 관리자 계정 정보를 통해 침투하는 방식도 늘고 있으며, 진료실 내 IP카메라, 환자 모니터링 장비 등을 해킹하는 시도도 늘고 있다. 일례로 서울의 한 성형외과는 진료실 및 탈의실에 설치된 IP카메라가 해킹당해 환자들이 시술을 받는 모습이 담긴 영상 파일이 해외 성인 사이트 등에 유출되기도 했다.
뿐만 아니라 클라우드를 도입하는 병원이 증가하며 데이터 저장소의 접근 권한을 잘못 설정해 노출되거나, 퇴사한 의료진 또는 계약이 종료된 외주 업체의 삭제되지 않은 계정을 이용해 유출되기도 한다.
현재 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법, 2020년 8월5일 시행)의 개정으로 주민등록번호나 이름 등 개인식별 가능 정보를 삭제한 의료데이터는 개인의 동의 없이도 연구나 상업적 목적으로 활용할 수 있다.
의료정보는 활용 범위와 주체를 놓고 오랫동안 논쟁이 이어지고 있다. 개인 건강관리나 공적 연구분야에서의 활용은 어느 정도 공감대가 형성되는 분위기지만, 산업분야에서 활용에 대한 거부감은 큰 상황이다. 특히 의료정보 활용에는 유출과 오남용의 위험성이 큰 벽으로 작용하고 있는데, 식별정보를 넘어서는 질병이력, 유전체 정보 등의 민감정보이기 때문이다.
개인 의료정보 활용에 반대하는 측은 병력 등이 담긴 의료정보는 타인이 알 경우 회복 불가능한 정신적·사회적 피해를 볼 수 있으며, 특히 특정 질환의 경우 소비자의 보험 가입을 거부하거나 직장에서 불이익을 받을 수 있다는 우려를 제기하고 있다.
반면 의학계에서는 개인 맞춤치료나 희귀난치성 질환의 원인 규명 등 의학 발전을 위해서는 현재보다 더 많은 정보가 담긴 의료데이터의 활용을 요구하고 있으며, 산업계에서는 헬스케어산업을 국가 미래성장동력으로 성장시키기 위해서는 인공지능과 의료정보를 결합한 의료 솔루션 개발에 적극 나서야 하는데 현재의 과도한 규제로 인해 글로벌 시장 경쟁에서 뒤처질 수 있다고 주장하고 있다.
하지만 논쟁의 핵심은 데이터를 안전하게 다룰 수 있다는 ‘디지털 신뢰'(Digital Trust)의 확보에 있다. 기업들은 가상 공간에서 조회만 가능하고 저장은 불가능한 폐쇄형 데이터센터를 운영하는 등 기술적 대안을 모색하고 있으며, 정부는 한국사회보장정보원 등을 통해 의료분야 사이버 위협 대응 체계를 민간 부문까지 확대 지원하고 있다.
개인의 의료정보는 한번 유출되면 최근의 통신사 사태처럼 ‘유심 교체’나 ‘비밀번호 변경’으로 해결할 수 없다.
우선은 보안 강화를 위한 적극적인 투자와 시스템 구축을 서둘어야 한다는 목소리에 귀 기울여야 한다. 그 뒤에 혁신과 공익을 위한 데이터 활용, 개인정보 보호와 윤리적 기준을 철저히 지키는 균형을 찾아가는 사회적 논의를 진행하는 것이 필요해 보인다.
