CloudPNG

ºC

logo
IT/바이오

개인정보위, 의료기기 관리자 계정 보안 허점에 제재

한채린 기자
입력

의료기기와 디지털 헬스케어 시스템이 빠르게 확산되는 가운데, 개인정보 관리의 최전선인 관리자 페이지 보안이 규제 당국의 직접 제재 대상으로 부상하고 있다. 의료기기 제조 유통 과정에서 축적된 개인정보가 해커의 표적이 되는 만큼, 계정 관리와 접속기록 보관, 침해 시 신속 통지 체계가 산업 신뢰도의 핵심 요건으로 부각되는 모양새다. 업계에서는 이번 조치가 의료기기 분야 디지털 전환 과정에서 사이버 보안 수준을 현실적으로 끌어올리는 계기가 될 수 있을지에 촉각을 곤두세우고 있다.

 

개인정보보호위원회는 27일 의료기기 제조 판매사 하스와 바텍엠시스가 개인정보보호 법규상 안전조치 의무를 어겼다며 과징금과 과태료를 부과하고, 해당 사실을 위원회 홈페이지에 공표하도록 의결했다고 밝혔다. 두 회사 모두 관리자 계정과 페이지 보안 수준이 취약해 해커가 손쉽게 침입했고, 결과적으로 1만명이 넘는 이용자 개인정보가 유출된 것으로 드러났다.

하스의 경우 신원 미상의 공격자가 관리자 계정을 확보해 관리자 페이지에 접속한 뒤, 이름과 이메일, 휴대전화 번호, 직장명과 직업 등 733명의 개인정보를 탈취해 다크웹에 게시한 사실이 확인됐다. 개인정보위는 하스가 외부 접속이 가능한 관리자 페이지를 운영하면서도 아이디와 비밀번호 외에 추가 인증 절차를 두지 않았고, 관리자 페이지 접속기록도 보관하지 않았다고 설명했다. 유출 정황에 대한 한국인터넷진흥원의 반복된 통보에도 불구하고, 침해 신고와 정보주체 통지 등 후속 조치를 지연한 점도 책임을 키운 요인으로 지적됐다.

 

바텍엠시스에서는 더 큰 규모의 유출이 발생했다. 개인정보위 조사에 따르면 해커는 회사의 관리자 계정을 획득해 관리자 페이지에 접근한 뒤, 아이디와 이름, 이메일, 생년월일, 휴대폰 번호, 주소, 성별 등을 포함한 9637명의 개인정보를 내려받아 외부로 유출했다. 조사 과정에서 바텍엠시스는 여러 개인정보취급자가 관리자 권한이 부여된 하나의 계정을 공유해 사용해 왔던 사실이 드러났다. 여기에 외부 접속이 가능한 관리자 페이지에 대해 강화된 인증 체계를 적용하지 않았고, 접속기록 점검도 제대로 수행하지 않아 침입 탐지와 사후 분석이 어려운 상태였던 것으로 나타났다.

 

두 회사에 대한 처분 수위도 공개됐다. 하스는 과징금 1억3300만원과 과태료 780만원을 부과받고 공표 명령까지 내려졌다. 바텍엠시스에는 5520만원의 과징금과 함께 공표 명령이 내려졌다. 의료기기 기업 입장에서 과징금 자체의 금액뿐 아니라, 중대한 개인정보보호 조치 미이행 사업자로 공표되는 평판 리스크가 더 큰 부담이 될 수 있다는 관측도 제기된다.

 

이번 사건은 의료기기 산업의 디지털 전환이 곧 보안 리스크의 증폭으로 이어질 수 있음을 보여주는 사례로 해석된다. 의료영상 장비, 진단 장비, 클라우드 기반 플랫폼 등에서 환자와 의료인의 식별 정보가 대규모로 누적되는 만큼, 관리자 콘솔과 백오피스 시스템의 보안 수준이 직접적인 개인정보 침해로 이어지기 때문이다. 특히 계정 공유 관행과 단순 비밀번호 기반 인증, 미흡한 접속기록 관리가 구조적 취약점으로 재확인됐다.

 

글로벌 시장에서도 의료 헬스케어 시스템을 겨냥한 사이버 공격은 증가 추세에 있다. 미국과 유럽에서는 병원 정보시스템과 진단 기기, 원격 판독 서비스에 대한 랜섬웨어 공격이 이어지면서, 의료기기 제조사에 대한 사이버 보안 가이드라인과 인증 요구가 강화되는 흐름이 이어지고 있다. 국내에서도 의료기기 소프트웨어와 디지털 헬스 플랫폼이 확대되는 상황에서, 개인정보보호위원회와 과학기술 정보 관련 부처가 계정 관리와 침해 대응 체계를 포함한 보안 수준을 면밀히 들여다보는 계기가 될 수 있다.

 

업계 전문가들은 관리자 계정에 대한 다중 인증 도입과 역할 기반 권한 분리, 계정 공유 금지, 접속기록의 장기 보관과 자동 분석 시스템 구축 등이 의료기기 기업의 필수 보안 과제로 부상했다고 지적한다. 동시에 침해 징후 통보를 받았을 때 신속 신고와 정보주체 통지, 추가 피해 확산 차단을 위한 실시간 대응 프로세스가 정착돼야 규제 리스크를 줄일 수 있다고 본다.

 

개인정보위의 이번 제재를 계기로, 의료기기 기업과 디지털 헬스케어 업체 전반에 관리자 페이지 보안 체계 재점검과 내부 규정 강화를 요구하는 목소리가 커질 것으로 예상된다. 산업계는 기술 혁신과 시장 확대 못지않게 개인정보보호와 보안 거버넌스가 실제 사업의 지속 가능성을 좌우하는 기준이 되고 있는 흐름을 주시하고 있다.

한채린 기자
share-band
밴드
URL복사
#개인정보위#하스#바텍엠시스