금융보안에 빨간 불이 켜졌다. 지난 4월 12일 농협 전산망이 마비됐다. 금융거래가 중단됐고 고객들의 불편이 이어졌다. 검찰은 수사에 착수했지만 사건 발생 열흘이 넘도록 정확한 원인 규명은 이루어지지 않았다. 전산망을 완전 복구하는 데도 열흘이 걸렸다.

이번 농협 사태를 계기로 허술한 금융보안에 대한 문제제기가 이어졌다. 농협 같은 제1금융권은 정보보호 예산 및 전담인력 확보 등의 보안 인프라가 그나마 나은 편이다. 제2금융권으로 내려가면 상황은 더 심각해진다. 현대캐피탈은 지난 4월 7일 해킹사건으로 42만명의 고객정보가 유출됐다. 한나라당 이성헌 의원실에 따르면 캐피탈사의 정보보호 예산은 은행권 전체의 평균 정보보호 예산의 5.7%에 불과하다. 정보보호 전담인력도 최소 인원인 1명인 곳이 많았다. 정보보호에 대한 예산과 인력 투자에 인색한 것은 정보보안의 필요성과 중요성에 대한 인식이 부족해서다.

보안기술 향상도 중요하지만 정보보안 분야에 대한 의식 제고와 관리·운영 시스템 개선이 더 시급하다는 목소리가 높은 이유다. 정태명 성균관대 정보통신학과 교수는 “지금과 같은 수준의 관리·운용 하에서는 이런 사건은 언제든지 일어날 수 있다”며 “보안에 대한 새로운 지평을 열어야 한다”고 말했다. 정 교수는 “이제껏 보안분야를 단순히 경비업무 정도로만 생각해 왔다”며 “이제는 CEO가 관심을 기울이는 중심부서로 다뤄야 한다”고 말했다.

하청 업체 인증제도 필요
문종섭 고려대 정보보호대학원 교수는 국가 차원의 인증제도가 필요함을 강조했다. 기업에서 보안업무는 하청을 주는 경우가 많다. 문 교수는 “하청 자체가 문제가 되는 것은 아니지만 업체를 선정할 때 그 업체의 능력을 판단할 수 있는 자격기준이 없다”는 점을 지적했다. 문 교수는 “미국의 경우 보안업체의 능력을 판별하는 기준이 있고, 2년에 한 번씩 재교육을 실시해야 한다”며 “업체가 제시한 제안서와 비용만을 기준으로 하청을 주는 우리의 실정은 문제가 있다”고 말했다.

비단 금융계만의 문제가 아니다. 정보보안에 대한 인식수준이 낮은 건 병원도 마찬가지다. 현재 병원의 환자정보와 치료기록 등은 대부분 전산화되었다. 대형병원의 전자의무기록(EMR), 의료영상저장전송시스템(PACS) 보급률은 각각 50%, 95%를 넘었다. 스마트폰이 보편화되면서 대형병원에서는 스마트폰을 활용한 의료정보화도 급격하게 이루어지고 있다. 그러나 급속한 정보화를 정보보안이 따라잡지 못하고 있다.

2010년 10월 한나라당 손숙미 의원이 발표한 보도자료에 따르면 800병상 이상 종합병원의 정보보호 인프라는 미흡한 수준이었다. 이는 예산 비율로 확인할 수 있다. 금융계의 경우 금융감독원에서 정보화 예산 대비 정보보호 예산을 5% 이상으로 권고했다. 그러나 의료기관에 대해서는 이러한 권고기준마저 없다. 기준이 없다보니 대형병원의 정보화 예산 대비 정보보호 예산 비율도 상당히 낮다. 34개 대상 병원 중 건양대병원이 0.9%로 가장 낮았다. 

이밖에도 고대안암병원은 1.7%, 아주대병원은 2.4%에 그쳤다. 정보보호 전담인력이 없는 병원도 많았다. 자료에 따르면 강남세브란스병원과 을지대학병원, 고대구로병원은 정보보호 전담인력이 0명인 것으로 나타났다.

보안업체 에이쓰리시큐리티의 박세현 부장은 “병원의 특성상 의사결정 주체가 의료진이어서 보안에 대한 의식이 낮을 수밖에 없다”며 “그러다보니 보안에 대한 투자비용도 낮고, 보안담당 실무전담자도 없는 상태”라고 지적했다. 박 부장은 “일단 보안담당 전담인원은 꼭 있어야 하고, 시스템 측면에서 보안시스템 DB 암호화부터 이행되어야 한다”고 말했다. DB 암호화란 주민등록번호와 같은 개인정보를 암호화해서 유출되더라도 식별할 수 없도록 하는 것이다. 박 부장은 “DB 암호화는 금융계에서는 어느 정도 보편적이지만 의료기관에서는 안 되어 있는 경우가 많다”고 말했다.

의료기관의 정보보호를 관리하는 정부 정책 또한 미흡하기는 마찬가지다. 2010년 3월 보건복지부는 ‘의료기관 개인정보보호 가이드라인’을 제시한 바 있다. 대한병원협회, 대한의무기록협회 및 보안전문가 등의 공청회를 바탕으로 마련된 것이다. 주요내용은 500병상 이상 의료기관의 경우 보호 실무책임자, 보안 실무책임자, 비의료인 등으로 구성된 5인 이상의 개인정보보호위원회를 구성하는 것과 1명 이상의 보안 실무전담자를 두는 것 등이다. 보안 실무전담인원 1명은 최소 인원으로 볼 수 있다. 당시 공청회에 참여한 안철수연구소의 윤삼수 팀장은 “인원 수는 병원 경영상 고려될 사항들이 많아 최소한의 기준으로, 보안전담자를 채용할 수 있는 근거를 마련하는 목적으로 확정됐다”고 말했다. 윤 팀장은 “병원의 경우 비의료인 비율이 높지 않다보니 비의료인 채용에 부담을 많이 느끼는 것 같았다”고 당시 논의과정을 설명했다.

사회 전반 인식수준 높여야
문제는 이러한 최소 기준조차 잘 지켜지지 않는 데 있다. 가이드라인은 말 그대로 권고사항일 뿐 강제성이 없다. 가이드라인이 배포된 후 1년이 넘었지만 보건복지부에서는 아무런 후속조치가 이루어지지 않았다. 500병상 이상의 대형병원에서 개인정보보호위원회가 구성됐는지, 전담인원을 확보했는지에 대한 점검이 이루어지지 않아 현장에서 이 같은 조치가 이루어지고 있는지를 확인할 수 없다. 보건복지부 관계자는 “점검계획은 아직 검토 중”이라고 말했다. 박세현 부장은 “병원에 설치된 개인정보보호위원회에서 보안논의가 이루어지는 과정만으로도 교육이 될 수 있다”며 “그런 과정을 통해 보안의식이 제고돼 정보보호가 강화될 수 있다”고 가이드라인 실행의 필요성을 강조했다.

대형병원에서 농협 사태와 같은 전산망 마비사태가 발생하면 더 큰 문제가 불거질 수 있다. 병원에서 다루는 환자의 정보는 환자의 건강정보 및 병력관리와 같은 민감한 개인정보들이다. 이러한 개인정보가 유출될 경우 심각한 정보 침해가 발생할 수 있다. 최악의 경우 업무가 마비되어 환자의 투약이나 수술 등 치료가 불가능해질 수 있다. 생명과 직결된 만큼 문제가 커질 수 있다는 것이다.

실제로 2006년 서울시내 한 대학병원에서 근무하던 직원이 퇴사하는 과정에 불만을 품고 해당 병원 의료정보시스템을 해킹한 사례가 있었다. 당시 입원환자 기록 등 중요 전산자료가 삭제되고 병원업무가 한동안 마비되어 혼란을 겪었다. 저장해 둔 데이터로 복구작업을 해 최악의 상황은 막을 수 있었지만 병원 업무에 큰 차질을 빚었다.

윤삼수 팀장은 “정보는 장기적인 안목에서 관리되어야 한다”고 강조했다. 윤 팀장은 “이번 농협 전산망 마비사태로 정보보호에 대한 필요성은 높아지고 있지만, 사고 당시에만 반짝하고 다시 무관심해지는 현실을 경계해야 한다”고 지적했다. 정태명 교수도 “총체적인 변화의 계기가 되어야 한다”고 강조하며 “금융뿐만 아니라 병원, 국방 등 우리나라 보안체계에 대한 위치 점검이 필요하다”고 말했다.

<박송이 기자 psy@kyunghyang.com>