[사이버수사대]⑨해고통보에 앙심…병원기록삭제

경찰청 사이버테러대응센터가 창설된 지 13년이 지났다. 2003년 전국 대부분의 인터넷망을 불통으로 만들었던 1.25 인터넷 대란에서부터 2009년 수십만대의 좀비PC가 동원돼 청와대 등 주요 정부사이트를 마비시킨 7.7 분산서비스거부(DDoS) 사태까지 사이버테러대응센터는 현장에서 해킹범을 검거하기 위한 사이버범죄수사에 분투해왔다. 사이버범죄수사 13년을 맞아 인터넷 공간을 떠들썩하게 했던 '그 때 그 사건'을 돌아보고 현재 시점에서 주는 의미를 반면교사 해본다. [편집자주]

나를 해고해? 어디 한번 당해봐라.

서울 A대학 부속병원 전산과장으로 근무하다가 퇴사한 뒤 한모씨㊹는 자신을 문책한 병원간부들에게 보복을 결심했다. 그가 선택한 방법은 보안이 허술한 의료정보시스템을 해킹해 환자기록 등 주요 전산자료를 삭제하는 일이었다.

병원이 백업서버를 통해 이를 복구하는데 걸린 시간은 3일. 그동안 환자들은 어떤 진료도 받을 수 없었다. 전산실 업무가 마비되고, 환자들은 진료를 받거나 퇴원하는 일 조차도 불가능했다. 만약 복구에 수일 이상이 걸렸다면 병원이 문을 닫아야 할 정도로 막대한 손실을 입게 될 지도 모르는 상황이었다.

경찰청 사이버테러대응센터는 2000년 10월 대학병원의 의료정보시스템을 해킹해 업무를 마비시킨 혐의(정보통신망법 위반)로 한씨를 구속했다.

그는 2000년 4월 퇴사한 뒤 5개월 간 준비 끝에 병원 전산시스템을 먹통으로 만들었다. 경찰에 따르면 이 사건은 국내에서 처음으로 발생한 의료전산망 침해 사고로 기록된다.

경찰은 당시 불만퇴직자의 접근통제는 정보보안 기술에서 매우 기초적인 사항이라며 내부의 시스템 관리자에 대한 적절한 통제조치가 없으면 값비싼 보안시스템도 무용지물이라고 밝혔었다.

유출된 정보는 환자의 병력 등을 다루고 있어 개인정보 중에서도 고급정보에 해당한다. 현재도 의료관련 정보는 생명보험회사 등 민간회사들에게 비싼 값에 거래되고 있는 것으로 알려졌다.

이 사건 2년 뒤에는 병원 차트 관리 프로그램 회사가 환자기록 230만건이 유출되는 사고가 발생했다. 이는 해킹이라기 보다는 환자기록에 대한 관리허술이 문제로 지적됐다.

당시 경찰은 A정보통신 회사가 국내 50여개 병, 의원으로부터 개인인적사항, 의료보험내역, 진료 및 처방 내역 등의 정보가 담긴 파일이 유출됐다고 밝혔다.

A회사 이형권 대표(가명)와 고객지원팀장 최수훈(가명) 등은 충북 청주 용암동 소재 N의원의 PC에 원격통제 프로그램 'pcanywhere'라는 프로그램을 통해 접속해 저장된 1천601명의 환자 진료기록을 빼내는 등 230만건의 개인정보를 유출시켰다.

최씨는 초등학교 1년 선배인 이순기(가명)로부터 모 온라인 게임의 아이디를 대량으로 만들면 돈을 벌 수 있다는 제안을 받았다. 이 말에 혹한 최씨는 기존에 보관하고 있던 충남 대전 소재 S산부인과 병원 3천473명의 환자기록을 차트 관리 프로그램과 함께 이씨에게 넘겼다. 이씨는 환자 100여명의 인적사항을 도용해 200여개의 게임 아이디를 만드는 등의 작업을 하던 중 체포됐다.

병원측은 환자기록이 핵심적으로 보호해야 하는 정보임에도 불구하고, 프로그램 업데이트와 유지보수가 필요하다는 피의자들의 말에 병원환자 진료정보가 포함된 수십만 건의 데이터를 제공했다.

경찰에 따르면 당시 체포된 이들은 정보통신망법 상 타인 비밀침해 위반으로 5년 이하 징역, 5천만원 이하 벌금, 의료법 상 비밀누설 등의 금지 조항으로 1년이하 자격정지가 적용됐다.

문제는 보안에 취약한 병원의 전산시스템이 해킹에 노출돼 업무가 마비될 경우 환자의 생명까지 위험에 노출될 수 있다는 점이다.

민간보험을 운영하고 있는 미국에서는 환자기록 등의 병원 데이터베이스(DB)를 암호화한 뒤 돈을 내놓지 않으면 암호를 풀어주지 않겠다고 협박하는 식의 신종 해킹범죄가 발생하기도 했다. 병원의 DB를 인질삼아 금품을 요구하는 것이다. 만약 위급 환자가 있었다면 대부분 전산화된 환자기록을 보지 못해 처방을 내리기 힘든 경우가 발생할 수 있다.