초연결
모든 것이 하나로 연결되는 초연결 시대의 핵심은 초고속 정보 전송을 가능하게 하는 인프라 구축이다. 물론 4G에서도 웬만한 디지털 작동이 가능하지만, 첨단기술이 발전하는 속도에 비해 한계에 부딪힌다. 일상의 대다수가 디지털로 전환되면 데이터 트래픽이 폭발적으로 증가하게 되는데, 4G 인프라 수준이라면 언제라도 끊김 현상이 나타날 수 있다.
지금도 스마트폰으로 스트리밍 영화를 보다가 갑자기 와이파이 연결이 끊기는 경우가 종종 생긴다. 다시 연결되기까지 그 몇 초가 지옥과도 같다. 그런데 자율주행자동차는 스마트폰을 능가하는 대규모의 데이터를 소모한다. 만약 자율주행자동차를 타고 가다가 갑자기 와이파이가 끊기면 그때는 진짜 지옥이 펼쳐질 것이다. 갑자기 멈춰선 자동차들로 도로는 아수라장이 될 것이고, 자동차간 충돌로 대량의 인명사고가 발생할 수도 있다.
그래서 등장한 것이 바로 5G다. 5세대 이동통신인 5G는 4G보다 데이터 전송속도가 20배나 빠르다. 우리가 상상하는 대다수 첨단기술들이 안정적으로 운용될 수 있을 정도의 데이터 속도다. 우리나라는 세계 최초로 2019년 3월 5G 상용화했다. 세계에서 가장 빠른 인터넷 망을 보유한 나라가 대한민국임을 상기한다면 놀랄 일도 아니다. 경쟁국들보다 몇 년 앞서 5G 인프라가 구축된다면 우리나라가 4차 산업혁명 시대의 글로벌 리더가 될 기반은 이미 마련한 것이라고 봐도 무방하다. 하지만 결정적인 걸림돌이 있다. 그건 바로 기술의 발전 속도만큼이나 빠르게 진화하고 있는 사이버 공격이다.
모든 해킹 방어하는 보안 기술은 없다
초연결 사회는 동전의 양면과도 같다. 안정적으로 운용되면 더할 나위 없이 편리하지만, 단 한 번의 해킹으로 모든 시스템이 뒤틀릴 수 있다. 마치 내 몸의 일부와 같던 스마트폰을 잃어버리거나 고장이라도 날 경우 며칠 동안 정상적인 활동이 불가능한 것과 마찬가지다. 아니, 스마트폰은 클라우드를 통해 PC 등 정보를 구할 대체수단이라도 있지만, 사회 구조와 경제 시스템이 종횡으로 연결되는 초연결 시대에는 속수무책이다. 자칫 보안에 구멍이라도 뚫리면 사회 전체가 무너지고 대량의 인명피해가 발생하는 것은 한순간이다.
하지만 안타깝게도 모든 해킹을 완벽하게 방어할 보안 기술은 존재하지 않는다. 지난번 평창 동계올림픽이 대표적 예다. 평창동계올림픽은 5G 시범 서비스와 자율주행, 드론 퍼포먼스, 증강현실
하지만 이러한 노력에도 불구하고 올림픽 개막식 당일에 파괴형 악성코드가 침투했다. 이 악성코드는 네트워크를 통해 스스로 전파되는 웜
더 큰 문제는 이것으로 끝날 일이 아니라는 점이다. 실제로 2018년 4월부터 한 달간 국내 외교·안보·통일 분야의 연구기관과 군 관련 사이트를 대상으로 기밀정보를 탈취하는 ‘워터링 홀
2017년 전 세계를 공포에 떨게 한 랜섬웨어
그렇다면 남은 과제는 갈수록 지능화 고도화 되는 사이버 공격을 막아내기 위해 우리가 할 수 있는 일이 무엇이냐에 있다. 결론부터 말하면 정보보안의 기본을 지키는 것이다. 싱거운 소리로 들릴지 모르지만, 대다수 사이버 공격은 기본적인 정보보안 원칙을 지키지 않았기 때문에 발생했다. 거금을 투입해 최신의 보안 프로그램을 설치하는 것도 방법일 수 있겠으나, 그보다 우선해야 할 것은 정보보안의 기본 원칙을 충실히 지키는 일이다.
정보보안을 위한 세 가지 기본 원칙
정보보안의 기본 원칙은 크게 세 가지다. 컴퓨터에 백신을 설치하고, 모든 데이터는 암호화하며, 주기적으로 데이터를 백업하는 것이다. 큰돈이나 큰 수고를 들이지 않아도 조금만 신경 쓰면 누구나 지킬 수 있는 것들이다. 하지만 현실은 그렇지가 못하다.
2016년에
진료실 컴퓨터에 백신이 설치되지 않은 경우가 태반이었고, 환자 진료기록을 입력하는 진료실 컴퓨터로 인터넷 서핑을 하는 경우를 심심찮게 확인할 수 있었다. 진료 기록을 백업하는 병의원은 가뭄에 콩 나듯 드물었고, 성형외과와 피부과 등 비급여 진료과목 의원의 경우 외부에서 휴대전화로 서버에 접속해 진료 예약을 하는 시스템을 흔히 목격할 수 있었다.
이 같은 조건은 모두 사이버 공격을 당하기에 몹시 쉬운 환경이자 모두 현행법 위반 행위들이다.
진료 정보가 저장된 컴퓨터에서 개인 취미 목적의 인터넷 서핑을 하는 것은 마치 아무나 드나들어도 되는 동네 마을회관과 같은 환경이다. 랜섬웨어 등 사이버 공격이 들어오는 경로를 보면 인터넷과 이메일을 통하는 것이 99퍼센트 이상이기 때문이다.
만약 진료용 컴퓨터로 인터넷 쇼핑을 계속하다가 해커가 병원 시스템에 침입해 진료 데이터가 모두 유출되면 해당 병의원은 영업정지 3개월의 행정처분을 받을 수 있고, 민사나 형사소송으로 법정에 서게 될 수 있다.
인터넷만 제대로 통제해도 랜섬웨어 등의 사이버 공격을 대부분 차단할 수 있다. 기본은 업무용과 개인용 컴퓨터를 분리하는 것이다. 진료용 컴퓨터는 인터넷 접속을 제한하고 백신을 설치하면 악성코드 감염을 최소화할 수 있다. 백신은 무료 버전을 이용해도 괜찮지만 가능하다면 가장 저렴한 유료 버전을 사용하는 것이 좋다. 유료 백신은 업무와 관련한 사이트를 선정해 제한적으로 접속할 수 있는 시스템을 갖추고 있고, USB 등 이동식 저장장치를 이용한 자료 유출을 차단할 수 있다.
가능하다면 병원 내 컴퓨터는 인터넷 접속을 아예 차단하는 것이 가장 효과적이다. 그리고 만약 이 같은 조치를 취할 경우에는 직원들의 사전 동의를 얻는 과정이 필요하다. 독단적으로 차단해버리면 처음에는 수긍하더라도 나중에 회피하는 방안을 찾아낼 것이기 때문이다.
진료 데이터 암호화도 선택이 아닌 필수다. 아무리 백신을 설치하고 인터넷에 제한적으로 접속해도 사이버 공격을 완벽하게 차단하기는 어렵다. 그럴 때 데이터가 암호화되어 있으면 혹시 해킹을 당해도 해커가 읽을 수 없는 상태가 된다.
그런데 만약 암호화 작업을 하지 않은 상태에서 환자의 개인정보가 유출되거나 훼손되면 해당 병의원은 개인정보보호법 제71조 1항 위반으로 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있다. 외부 침입을 방어하려면 워드나 엑셀 등 오피스 프로그램에 암호화를 적용하고, 비밀번호도 번거롭더라도 특수문자를 섞어 8자리 이상으로 주기적으로 변경해야 한다.
데이터 백업도 주기적으로 해야 한다. 암호를 걸어두면 데이터가 유출돼도 환자의 개인정보는 지킬 수 있지만 원 데이터를 통째로 분실하게 된다. 이 경우도 개인정보보호법 위반에 해당돼 처벌을 피하기 어렵다. 따라서 진료 기록은 주기적으로 별도의 저장매체에 복사해둬야 한다. 만약 스마트폰을 이용한 원격 예약 시스템을 도입한 병의원이 있다면 지금 당장 폐기할 것을 권한다. 그 자체로 행정처분 대상에 해당하기 때문이다.
외부에서 원격으로 병의원 서버에 접속하려면 아이디와 패스워드는 물론이고, 공인인증서나 아이핀 등으로 추가 인증을 거쳐야 한다. 하지만 대다수 병의원이 번거롭다는 이유로 이 과정을 생략하고 있다. 문제는 이 과정에서 해커가 환자의 아이디와 패스워드를 가로채기만 하면 얼마든지 병의원 서버에 접속해 개인정보를 빼내갈 수 있다는 것이다. 수만 명의 진료기록이 한 번에 털릴 수도 있다. 이 수준에 이르면 단순한 행정처분이 아니라 민·형사 처분도 가능하다.
물론 시간이 지남에 따라 상당부분 개선되고는 있지만 상당수 병의원들이 여전히 정보보안에 허술할 수 있다는 의심을 지우기는 어렵다. 비단 의료기관만이 아니다. 공공기관이나 민간기업, 특히 중소기업이나 스타트업의 경우 비용이나 인력 부족을 이유로 정보보안에 소홀한 경우가 많다.