Healthcare cyber hacking $22 million ‘transaction’ Personal medical information becomes expensive
미국에서 사이버 공격으로 의료 기록이 거액 요구 가치로 도난이 빈발해지며 병원, 건강 보험사, 의사 클리닉 및 기타 업계의 주요 해킹 대상이 점점 더 많아지고 있다.
전체 환자 기록의 1/3을 처리하는 미국 최대의 정보 센터인 유나이티드헬스 그룹(UnitedHealth Group)의 자회사인 체인지 헬스케어(Change Healthcare)에 대한 공격이 절정에 달하며 헬스케어 대한 사이버 공격이 미국 의료 시스템 전반에 걸쳐 취약점이 얼마나 심각한지 드러냈다고 뉴욕타임스가 지난달 30일 보도했다.
미국 연방수사국(FBI)과 보건복지부는 환자의 기록과 개인 정보가 유출됐는지 여부를 포함해 체인지 해킹 사건을 조사하고 있다.
체인지의 네트워크는 환자의 첫 번째 의사 방문부터 암이나 우울증과 같은 진단, 그리고 후속 치료에 이르기까지 정보를 건강 보험사에 연결하여 혜택 및 지불을 받는 디지털 교환기 역할을 하기 때문에 사람들의 의료 기록이 수년 동안 노출 위험에 커졌다.
NYT는 헬스케어 산업이 표적이 되는 이유에 대해 “의료 기록은 도난당한 신용 카드보다 몇 배나 많은 금액 요구할 수 있고 빠르게 해지할 수 있는 신용카드와 달리 개인의 의료 정보는 변경할 수 없다”며 “개인 건강 정보가 도난당할 경우 환자는 거의 구제할 수 없다”고 밝혔다.
NYT는 이번 사이버 공격에 대해 “의료 산업에서 거의 보편화되어 버린 가장 광범위한 사례일 뿐”이라며, 데이터 보안 회사인 엠시소프트(Emsisoft)에 따르면 소유자가 해커에게 돈을 지불하지 않으면 범죄자가 컴퓨터 시스템을 종료하는 랜섬웨어 공격은 2022년 25개에서 지난해 46개 병원 시스템에 영향을 미쳤고, 해커들은 최근 몇 년 동안 의료 트랜스크립션 및 청구와 같은 서비스를 제공하는 회사를 무너뜨렸다고 밝혔다.
미국 병원협회(American Hospital Association)의 사이버 보안위험 국가 고문인 존 리기(John Riggi)는 "우리는 당신의 진단을 취소하고 새로운 진단을 보낼 수 없다"며 “그 기록들은 의료 사기를 저지르기 쉽기 때문에 가치가 있다”고 NYT에 말했다.
건강 보험사는 은행과 달리 사기를 감지하기 위해 정교한 방법을 사용하지 않는 경우가 많아 허위 청구를 쉽게 제출할 수 있으며, 사회 보장 번호 및 기타 금융 정보 도난에 대해 걱정하는 사람들은 신용 모니터링 기관에 등록해 구제 할 수 있으나 개인 건강 정보 도난의 환자는 거의 구제할 수 없다.
의료 해킹 사건에 대해 병원 네트워크 및 기타 의료 그룹은 환자의 노출을 제한하기 위해 신속하게 거래해 요구액을 지불했고, 이번 체인지 헬스케어 사건은 2,200만 달러의 몸값을 지불한 것으로 알려졌다.
NYT는 “FBI가 랜섬웨어 공격의 표적이 되지 말라고 조언하지만, 대부분의 병원은 위험이 너무 높기 때문에 돈을 지불한다”고 밝혔다.
상원 재정위원회의 민주당 위원장인 론 와이든 상원의원(오리건)은 최근 예산안 청문회에서 "오늘날 의료 산업에 대한 연방 정부의 의무적인 기술 사이버 보안 표준은 없다"며 "사람들이 수십 년 동안 이에 대해 이야기해 왔음에도 불구하고 의료 산업에 대한 연방 의무 기술 사이버 보안 표준은 없다. 이제는 바뀌어야 한다"고 밝혔다.
바이든 행정부는 최근 예산안의 일환으로 병원 시스템 개선을 돕기 위해 초기 8억 달러를 의회에 요청했으나 의회가 현재 현대화를 위한 자금을 제공할 수 있을지, 또는 제공할 의향이 있는지는 분명하지 않다고 NYT가 밝혔다.
대부분의 병원은 엄격한 디지털 보호에 비용을 들이지 않고 최신 MRI 기술이나 진단 장비에 투자하고 더 많은 간호사에게 계속 돈을 쓰고 있다.
병원과 의사들이 보안 조치 강화에 비용 지불을 소홀히 한 틈에 의료에 연결된 제품과 공급업체가 뒤죽박죽 섞여 있어 디지털 측면의 문이 열린 상태로 해커를 유인하고 있다.
체인지 사건은 이전에 해킹이 주로 개별 병원 시스템을 겨냥했고, 이로 인해 여러 건강 의료 단체들은 자신들의 위험을 과소평가했다.
랜섬웨어 공격으로 영국 국민보건서비스(National Health Service)의 의료 기록이 잠겨 환자들에게 막대한 혼란을 초래했던 2017년 사건은 미국에 앞서 단일 의료체계의 허점을 드러냈다.
사이버 보안 컨설턴트와 정부 관료들은 미국 경제에서 가장 공격에 취약한 부문으로 의료 서비스를 꼽았으며, 에너지와 물만큼이나 미국의 중요한 인프라의 일부라고 NYT가 밝혔다.
보험회사 디디바이드 헬스(Devoted Health)의 기술책임자이며 연방 과학기술정책국(Office of Science and Technology Policy)의 전 수석 데이터 과학자인 D.J. 파틸은 “우리 모두가 겁에 질려야 한다"며 "사이버 보안 및 정보 보안과 관련하여 전체 부문은 자원이 심각하게 부족하다"고 NYT에 밝혔다.
서터 헬스(Sutter Health)의 수석 부사장이며 전국 생명과 건강통계위원회(National Committee on Vital and Health Statistics) 재키 몬슨 의장은 "사람들은 무엇에 투자할지 결정해야 하며, 사이버 보안은 일반적으로 목록의 맨 위에 있지 않다"고 NYT에 말했다.
체인지 헬스케어 사건은 2월 21일 ‘어슈어런스’ 앱과 ‘릴레이 익스체인지’ 앱이 블랙캣(ALPV)으로 알려진 해킹 그룹의 사이버 공격으로 마비됐다.
‘어슈어런스’는 의료 청구·송금 관리, ‘릴레이 익스체인지’는 청구된 보험의 오류 검사 해결 시스템이다.
체인지헬스케어는 의사 90만명, 약국 3만3000개, 병원 5500개, 실험실 약 600개 등의 고객의의료기술 기업으로 미국 내 의료 청구의 약 50%를 처리하며, 2021년 미국 대형 보험사 UNH에 인수·합병됐다.
UNH는 3월 18일 의료 청구 시스템을 복구할 예정이며 해킹으로 재정적 피해를 본 의료기관에 지금까지 20억 달러 이상의 선지급금을 지급했다고 밝혔다.
UNH는 대응책으로 “플랫폼에 대한 완전한 신뢰 회복을 위해 모든 예방 및 안전 조치를 취했으며 내부 및 제3자 파트너와 함께 여러 과정의 보안 프로토콜(컴퓨터 상호간 통신 규약) 마련했다”고 설명했다.