답은 이메일입니다. 정확히는 환자의 상태를 기록하고 처방전을 쓰는 PC에서 인터넷을 접속했다는 점이지요. 물론 인터넷을 접속해야 다른 데서 처방 받은 약물들과 중복이 되지 않는지 정보를 받아올수 있습니다. 그래서 접속 안 할 수는 없지요. 그러나 환자의 상태를 기록하는 PC에서의 인터넷 접속은 최소한으로 해야 합니다. 왜 그럴까요?

바로 민감 정보를 다루는 병원의 특수성과 함께 이메일이 가장 흔히 쓰이는 해킹 통로이기 때문입니다.

의료인이라면 다들 아시겠지만 개인정보는 크게 두 가지로 나뉩니다. 이름, 주민번호, 전화번호 등의 일반 개인정보와 건강, 신체, 사상, 성생활, 질병 등의 ‘민감 정보’.

병원에서는 신체와 질병 등의 민감 정보를 다룰 수 밖에 없기 때문에 관련으로 따로 동의를 받습니다. 그리고 민감 정보는 따로 보관하는 것을 원칙으로 하지요. 그만큼 중요하기 때문입니다. 그런 민감정보를 다루는 PC가 잠깐 열어 본 이메일을 통해 해킹 당한다면 정말 끔찍한 일이 될 것입니다.

오션스8이란 영화 보셨나요? 이 영화에서 해커인 나인볼은 타깃인 연회장의 CCTV 설계도를 해킹하기로 합니다. 방법은 간단해요. 해커인 나인볼은 CCTV담당자의 SNS를 먼저 염탐합니다. SNS를 통해 보안담당자가 강아지를 좋아하는 것을 알아내지요.

타깃의 SNS – 페이스북(출처 : 오션스8)

이제 해커는 귀여운 강아지 사진들과 악성코드를 같이 넣은 이메일을 CCTV담당자에게 보냅니다. CCTV담당자가 이메일을 받고 여는 순간 귀엽고 사랑스러운 강아지들 사진들이 나와요. CCTV담당자는 이메일에 있는 “강아지 사진 더 보기” 버튼을 누르는 순간 해커인 나인볼이 심어놓은 악성코드에 감염됩니다.

해킹 된 담당자의 노트북에 있는 CCTV 설계도는 이제 모두 나인볼에게 넘어갑니다. 뿐만 아니라 나인볼은 사각지대가 생기도록 설계도를 살짝 수정합니다. 담당자는 그것을 눈치 채지 못한 채로 CCTV를 설치하게 되지요.

우리의 멋진 해커언니 – 나인볼(출처 : 오션스8)

나인볼이 했던 대로 해커가 의사에게 악성코드가 담긴 이메일을 보냈다면 어떻게 됐을까요? 영화에서처럼 환자들의 정보가 해커에게 넘어가는 일이 생길지도 모릅니다.

너무 영화같다고요? 그렇다면 실제로 있었던 Sony Pictures사의 해킹 사례를 볼게요.

한동안 헐리우드에서는 북한을 악당으로 그리는 영화가 유행했었습니다. 그 전에는 이란, 이라크였다가 북한으로 옮겨간 것이지요.

2002년 개봉한 ‘007어나더데이’에서는 북한이 적으로 나와요. 뿐만 아니라 안젤리나 졸리 주연의 ‘솔트＇란 영화에서도 시작부터 주인공인 안젤리나 졸리가 북한에 잡혀 고문받는 것으로부터 시작됩니다.
이렇게 인기많던(?) 북한이 어느순간 갑자기 헐리우드에서 사라졌어요. 왜일까요?

SONY사의 해킹사건 때문이었습니다. SONY에서는 당시 “인터뷰“라는 코미디첩보영화를 제작했습니다. 내용은 간단해요. 미국은 적국인 북한의 김정은을 죽이기 위한 작전을 짭니다. 첩보원을 인터뷰어로 위장해서 북한으로 보내는 것이지요. 그리고 김정은을 인터뷰하는 척 하면서 암살을 시도합니다.

문제의 영화-인터뷰 공식 포스터

북한의 입장에서는 신과 같은 김정은을 죽이는 내용도 짜증나지만 김정은을 우스꽝스럽게 표현하는 ‘코미디’ 첩보물이란 것도 곱게 보이지 않았겠지요. 그래서 북한은 SONY사를 해킹해서 필름전체를 공개하는 것은 물론 내부문서(배우들의 개런티 등)을 모두 공개해버립니다.

거기에 놀란 미국 영화사들이 그 뒤로는 북한을 소재로 한 영화 만들기를 포기했습니다. 자기들도 타깃이 되기 싫어서요. (물론 이때 나온 순기능 중 하나는 여자배우들과 남자배우들의 개런티차이였습니다. 거의 비슷하게 고생하지만 여배우들의 개런티는 비교도 안되게 남배우들보다 낮은걸 알게 되었고, 그 뒤로는 여배우들의 개런티가 조금 높아졌다지요.)

SONY사의 해킹방식은 매우 간단했습니다. 영화에서처럼 이메일을 이용했기 때문이지요. 북한 해커는 SONY의 인사담당자에게 이력서를 가장한 이메일을 보냅니다. 인사담당자는 그 이메일을 받고 안에 첨부파일인 이력서를 보기 위해 클릭하여 문서를 엽니다.

이력서(첨부파일)는 겉으로 보기엔 평범한 doc문서였지만 그 뒤에는 해킹을 할 수 있는 악성코드가 있었지요. 인사담당자가 이력서를 여는 순간 그 PC는 악성코드에 감염이 되고 결국 내부시스템까지 접속 한 해커에 의해 탈탈 털리게 됩니다. (영화 오션스8과 비슷하죠?)

그러면 단순히 이메일만 주의하면 될까요? 그렇다면 얼마나 좋겠습니까마는 현실은 그렇지 않습니다.
해커들은 우리가 생각하는 것보다 굉장히 집요하고 부지런하며 성실하기 때문이지요. 얘네들은 정말 될 때까지 하는 애들이라고 생각하면 됩니다. 물론 타깃이 하나만이 아니라서 더 문제지요.

병원 홈페이지도 매우 중요합니다. 병원마다 홍보나 예약을 위해 홈페이지를 운영합니다. 대부분은 위탁업체에 맡기니 서버도 병원 밖에 있고, 위탁업체가 알아서 잘 해주리라 믿겠지요. 그러나 세상에 나온 모든 백신으로 모든 질병을 예방할 수 없듯이 위탁업체도 마찬가지입니다. 아무리 secure coding을 잘 하더라도 하나를 소홀히 하면 해커는 그 틈으로 들어오게 됩니다.

제일 취약한 부분은 게시판입니다. 이런 게시판을 이용한 해킹도 만만치 않게 일어납니다. 가장 기본 적인 게시판 해킹 방식으로는 XSS공격(Cross Site Script – 게시판 이용자의 개인정보를 빼돌리는 공격) 방식과 CSRF공격(Cross-Site Request Forgery-보통 관리자의 권한을 탈취해 서버를 공격하는 방식)방식이 있습니다. 그리고 File Upload 방식도 있습니다.

예약, 문의 등을 위해 웹게시판을 이용하는데 게시글을 읽고 답변을 다는 것은 위탁업체가 아닌 병원 관계자가 달게 됩니다. 이런 과정에서 XSS, CRSF 공격 등으로 병원관계자의 권한을 해커가 탈취하면서 환자들의 개인정보(민감정보)를 가져가는 경우가 생길 수도 있습니다. 또는 파일 업로드 공격 등으로 인해 서버자체가 파괴되거나 병원의 PC가 랜섬웨어에 감염되는 경우도 있습니다.

한때 악명 높았던 랜섬웨어 – 워너크라이

미국의 경우에는 병원 서버자체가 완전히 랜섬웨어에 감염되어버려서 환자의 치료를 못하는 상황까지 간 적도 있다고 합니다. 그래서 병원에서는 어쩔 수 없이 거액의 돈을 송금하고 서버를 복구한 사례도 있습니다.

한국병원 랜섬웨어 사례들(출처 : 네이버 검색화면)

이 경우에는 홈페이지 관리를 맡긴 위탁업체에서 어느 정도의 보안설정만 하더라도 충분히 예방할수 있는 방식이니 꼭 위탁업체에 한번씩 물어보시고 확인해보시길 바라겠습니다. (파일 업로드가 안되게 설정했는지, HTML TAG는 화이트리스트 형태로 운영되는지, 게시판 이용자의 자바 스크립트 사용은 막았는지 등을 물어보시면 됩니다)

정리하자면 가장 기본적인 정보보안 수칙은 이렇습니다.

• 보낸이가 누구인지 정확히 확인 되지 않은 이메일은 되도록이면 열어보지 않는다.
• 업무용(병원용) PC와 인터넷용(이메일, 게시판 댓글용) PC는 따로 두고 쓰는 방향으로 한다.
• 병원홈페이지용 게시판에 악성코드가 들어갈 수 없는지 수시로 업체에게 점검여부를 물어 본다.

이 외에도 참 많지만 다 쓰면 글이 굉장히 길어질 것 같네요. 지면도 한정되어 있으니 이만하겠습니다^^;

그리고 뭐가 이렇게 복잡하고 귀찮냐고 하실 수도 있습니다. 그러나 원래 질병예방과 보안은 귀찮은 일이에요. 외출 후 손 안 씻고 그냥 밥 먹으면 편하지만 질병예방을 위해서 귀찮아도 손을 꼭 씻는 것처럼 정보보안도 귀찮지만 지켜야 하는 것이랍니다. 세균, 바이러스들도 집요하지만 해커들도 집요하니까요.