정부와 새누리당이 사이버테러방지법의 조속한 입법을 위해 야당에 전방위적인 압박을 가하고 있는 가운데, 최근 해커의 공격을 받아 전산시스템이 마비됐던 한 병원은 ‘팔짱’만 끼고 있는 것으로 드러났다.
사이버테러방지법은 사이버 위기 발생 시 정부와 민간 등 국가역량을 총동원해 신속히 대응하자는 내용이 골자지만 법안 처리에 다급해 하는 정부여당과 달리, 민간 부문에서는 법 제정의 필요성에 공감하지 못하고 있는 게 아니냐는 지적도 나온다.
지난달 5일 차병원그룹(총괄회장 차광렬)이 운영하는 미국 LA 할리우드 장로병원(LA Hollywood Presbyterian Medical Center)은 해커들의 악성코드(ransomware) 공격으로 10여 일간 병원 전산시스템이 마비됐다.
이 병원은 LA 한인타운 인근에 위치한 종합병원으로 지난 2004년 차병원그룹이 인수했다. 병상 규모는 400여개.
<>해커들에 굴복 ‘보상금’ 지급... 연쇄 피해 우려
알렌 스테파넥(Allen Stefanek) 병원장은 같은 달 17일 “비록 환자케어에는 문제가 없었으나 정상운영을 위해 시스템을 복구해야만 했고, 해커들이 요구한 ‘몸값(bounty)’ 1만7000달러를 지불했다”고 밝혔다. 병원은 해커들의 요구를 들어주고, 15일부터 전산시스템을 정상운영하고 있는 것으로 전해졌다.
미국 현지에서는 할리우드 장로병원이 해커들에게 돈을 지불함에 따라 다른 병원들도 해커들에게 공격당할 위험이 커졌으며, 이번 사건은 해커들에게 ‘보상’을 했다는 측면에서 좋지 않는 사례로 남게 됐다는 평가들이 나온다.
병원을 공격한 해커들은 아직 잡히지 않고 있으며, FBI(미 연방수사국)와 LA경찰이 이들을 뒤 쫓고 있는 것으로 알려졌다.
<>낡은 의료장비·운영체계 해킹 위협에 노출
전문가들에 따르면 랜섬웨어의 전형적인 공격 유형은 한 사람이 이메일 링크나 첨부파일을 클릭할 때 시작된다. 악성코드가 해당 컴퓨터나 전체 네트워크를 잠가버린다.
이렇게 되면 할리우드 장로병원의 사례에서처럼 피해자들은 자신들의 컴퓨터를 열 수 있는 열쇠를 쥔 해커에게 돈을 지불하는 상황에 처한다.
데이터나 네트워크 백업을 하지 않을 경우 해커들의 요구를 들어 줄 수밖에 없는 것. 해커들에게 조용히 돈을 지불하거나 아니면 감염된 시스템을 아예 포기해야 하는 상황에 처하게 된다.
특히 환자 응급상황에 대한 선제적 대처가 절대적으로 필요한 병원의 경우, 해킹에 철저하게 대비해야 한다고 전문가들은 입을 모은다.
AP통신은 “보안전문가들은 병원들이 특히나 사이버공격에 취약한데, 이는 일부 의료장비들이 낡은 운영체제를 사용하고 있고, 쉽게 보안이 되지 않기 때문”이라며 “만약 직원 한 명이 한컴퓨터에서 감염파일을 연다면, 그 컴퓨터에 연결된 환자 모니터링 장치나 인슐린 펌프 같은 모든 의료장치들이 잠기게 된다”고 지적했다.
또한 “병원들은 환자들의 생사를 다루는 업무의 엄중성, 환자 정보의 엄격한 통제, 그리고 전자기록관리체제로의 전환이행에도 불구하고 다른 분야들처럼 랜섬웨어와 같은 사이버 위협을 퇴치하는 노력을 게을리 해왔다”고 보도했다.
<>정부, 사이버테러방지법 홍보에 실패
한편 박근혜 대통령까지 나서고 있는 ‘국가 사이버테러 방지 등에 관한 법률안’의 발의(發議) 배경은 이렇다.
△조직적인 사이버테러로 국가·사회전반에 중대한 영향을 미칠 수 있는 사이버위기 발생 가능성이 날로 증대하고 있으며, △특히 사이버 공간은 국경을 초월해 범지구적이어서 정부와 민간 어느 하나도 단독으로 차단하기에는 분명한 한계가 있어 △위기 발생 시 국가의 역량을 결집해 신속히 대처할 수 있도록 하기 위함이라고 적시돼 있다.
이 법에서 ‘사이버테러’란 국가안보 또는 공공의 안전을 위태롭게 할 목적으로 해킹·컴퓨터 바이러스 등 전자적 수단에 의해 정보통신망을 공격하는 행위를 말한다.
차병원그룹은 그러나 할리우드 장로병원에서 벌어진 해킹사건에 대해 수수방관하고 있는 것으로 나타났다.
AP통신 등 세계적인 통신사를 비롯, LA타임스 등 미국 유력신문들이 비중 있게 다룬 사건인데도 불구하고, 실태 파악조차 하지 않고 있는 것.
병원 홍보실 관계자는 8일 본지와의 통화에서 “우리는 이번 사건에 관여를 안했다. 현지병원에 일임했다. (몸값을) 얼마를 지불했는지, (해커들이) 잡혔는지도 모른다”며 “미국에 직접 알아보라”고 말했다.
물론 자사가 운영하는 외국병원에서 벌어진 사건이긴 하지만, 시기적인 ‘엄중함’을 감안하면 지나치게 안이하게 인식하고 있는 게 아니냐는 지적이 나온다.
익명을 요구한 한 보안전문가는 “정부여당이 사이버테러방지법을 제정하면서 너무 북한 발 위협을 강조하는 바람에 취지가 퇴색된 면이 없지 않다”며 “이번 법은 북한을 포함한 모든 사이버위협으로부터 국민의 생명과 안전을 보호하기 위한 것으로 정부가 법안 홍보에 실패한 것”이라고 말했다.
