지난해 정보보안 예산을 전혀 편성하지 않은 상급종합병원과 종합병원이 44곳에 달하는 등 사이버 보안이 허술한 것으로 나타났다.
12일 보건사회연구원이 대한병원협회에 위탁해 상급종합병원(41곳)과 종합병원(222곳) 등 263곳을 대상으로 지난해 7~8월 실시한 온라인설문 조사 결과를 담은 '의료기관 사이버 보안 개선을 위한 정책 방안 연구' 보고서에 따르면, 지난해 기준 정보보안 예산을 전혀 편성하지 않은 병원이 전체의 16.7%(44곳)에 달했다.
정보보안 예산은 정보시스템에 대한 기밀성, 무결성, 가용성을 유지 보호하기 위해 취하는 활동(시스템 구축) 등에 드는 예산을 말한다. 병원 한 곳당 평균 정보보안 담당 인력은 0.9명으로 1명도 채 되지 않았다.
상급종합병원의 평균 정보보안 예산은 8억2260만원이지만, 종합병원은 5870만원에 그쳤다.
최근 3년 이내에 사이버 보안 사고를 겪은 병원은 전체 응답 기관의 6.5%(17곳)였다. 발생한 사고의 주요 원인(복수 선택)은 외부 사이버 공격이 39.0%(16건)로 가장 많았고, 시스템 노후화 등 기술적 취약점이 31.7%(13건), 관리에 소홀한 관리적 취약점이 24.4%(10건)였다.
해킹 시도를 24시간 감시하고 막는 시스템을 운영하는 병원도 전체 응답 기관의 57.0%에 불과했다.
해킹 사고가 발생해도 병원들은 관계 기관에 신고하는 것을 꺼리고 있었는데, 그 이유(복수 응답)로는 43.4%가 신고에 따른 법적 부담 우려를 꼽았고, 40.2%는 병원 (평판) 손상 우려를 지적했다.
병원들은 사이버 보안 업무의 어려움을 해결하기 위해 가장 필요한 정부 지원으로 예산 확대를 통한 인력 고용과 재정 지원을 1순위로 꼽았다. 또한 해킹 사고 신고율을 높이기 위해서는 법적 보호 제공과 신고 절차 간소화가 필요하다고 응답했다.