요즘 암시장에서 가장 핫한 아이템, 의료 정보

의료 정보는 일반 카드 정보보다 10배까지 높은 가격에 거래

전체 유출사고 중 50% 가까이가 의료업계에서 벌어지고 있어

[보안뉴스 문가용] 지난해와 올해는 전 세계가 유출사고로 온통 얼룩졌다고 해도 과언이 아니다. 특히 신용카드 정보 유출은 대단히 심각한 수준이었다. 그러니 이런 정보를 사고파는 해커들의 시장에서 카드정보라는 공급이 넘쳐나기 시작했다. 공급이 수요를 넘어서니 자연스럽게 가격이 깎였다. 돈에 민감한 도둑들이 가만히 있을 리가 없다. 값어치가 더 높은 정보를 찾아나섰다.

카드 및 금융정보보다 값어치가 높은 정보가 있을까, 라고 생각하는 사람이 있을지도 모르겠다. 당연히 있다. 요즘 가장 ‘핫’한 건 의료 정보라고 한다. 그렇게 말하면 내 콜레스트롤 수치나 평균 혈압 수치가 타인에게 무슨 소용이 있냐,라며 콧방귀 끼는 사람이 있을지도 모르겠다. 기억해야 할 것은 병원에 저장되는 기록이 이런 것만은 아니라는 사실이다.

잘 생각해보라. 병원에서는 당신의 이름도 알고, 주소도 알고, 주민등록번호도 알고, 보험 가입 번호도 안다. 심지어 병원비를 카드로 결제하고 있지 않은가? 또한 의료 사기라는 범죄 행위도 존재하고 있음을 기억해야 한다. 누군가 당신의 의료 기록을 가지고 특별한 약품이나 의료 장비를 사들이거나 보험사기를 준비할 수도 있는 것이다.

현재 신용카드 정보는 범죄자들의 암시장에서 인당 1달러보다 못한 가격을 받고 있다. 그런데 의료 기록은 환자 당 10달러까지도 거래된다. 대부분의 신용카드 회사들은 이미 광범위하고 강력한 사기 방지 시스템을 갖추고 있다. 그리고 이제는 업계 사람들도 굉장히 조심스럽다. 그래서 해킹이나 사기가 예전처럼 쉽지가 않다. 그런데 아직 의료 계통은 해커들이 뛰어놀기 좋은 공간인 채로 남아있다. 그러므로 의료 기록이 범죄자들 사이에서 요즘 각광받는 이유는 돈이 되고 구하기 쉽다는 것이 함께 작용한다고 볼 수 있다.

문화의 측면에서 보자면 의료업계 종사자들은 환자의 상태가 제일 걱정되는 부분이다. 물론 바람직한 태도이며 현상이다. 하지만 환자의 상태에만 집중하다보니 보안은 자연히 뒷전이 된다. 그것도 저 멀리 한참 뒷전이다. 당연히 같은 돈이면 의료기구 하나를 더 들여놓지 보안 기구를 구입하지는 않을 것이다. 보안 조치를 하느라 치료가 늦어질 가능성이 조금이라도 보인다면 거들떠도 보지 않고 말이다. 업무 특성상 타당한 반응이지만, 그렇기 때문에 해커들에게 빌미를 제공한다는 점도 부정할 수 없다.

이제는 보안을 통해 환자의 정보를 지키는 것도 환자의 건강을 지키는 것만큼이나 중요하다는 인식 제고가 필요하다. 개인정보나 의료 기록을 도난당한 사람은 극심한 스트레스에 시달리기 때문에 보안과 의료가 크게 동떨어진 것도 아니다.

의료 산업이 쉽게 해커들에게 노출되는 또 다른 이유는 의료기기의 긴 수명이다. 의료기기는 가전제품과는 달리 수명이 무척 긴 편이다. 게다가 업데이트도 뜸하다. 그래서 대부분의 현대 의료기기들은 아직도 윈도우 XP를 기반으로 하는 경우가 많다. 즉 최신의 OS보다 훨씬 불안정하다는 뜻이다.

실제로 의료 기록이 유출되는 사고는 점점 늘어나고 있다. 신원도용자원센터(Identity Theft Resource Center)의 자료에 따르면 2013년 일어난 전체 유출 사고의 43.8%가 의료 분야에서 발생했으며 이는 2012년의 34.9%보다 크게 늘어난 수치다. 사권정보센터(Privacy Rights Clearinghouse)는 같은 기간 기록된 수치를 45%라고까지 보고하고 있다. 물론 아직도 기업에서의 유출사고가 더 많은 것이 사실이다. 하지만 그건 몇몇 업체에서 대규모 사건이 터져서 그렇기도 하다.

물론 신용카드 업계가 안심해도 된다는 건 아니다. 아직도 우리는 생활의 모든 면에서 조심해야 한다. 다만 그 ‘생활의 모든 면’에 병원도 얼른 포함시켜야 한다는 소리다. 당신의 가족이나 당신이 오늘 무슨 진단을 받고 어떤 처방을 받았으며 무슨 약을 먹고 있는지, 누군가 가까이서 지켜보고 있을지도 모르고, 그런 정보를 사고팔지도 모른다. 그리고 그 정보로 인해 누군가 혹은 당신이 무슨 사기를 당할지 아무도 모르는 것이다.

글 : 리사 마이어스(Lysa Myers)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)