세계 곳곳에서 동시다발적으로 벌어지고 있는 랜섬웨어 공격이 우리나라도 예외가 아닌 가운데 '백업'의 중요성이 다시 한 번 강조되고 있다.
특히 의료기관은 각종 의료기록을 보관해야 하는 의무가 있기 때문에 랜섬웨어 감염으로 기록이 날아가면 경우에 따라 법적 처벌까지도 받을 수 있다.
유럽에서 시작된 랜섬웨어 피해는 본격 업무를 시작하는 날인 15일부터 우리나라에서도 감염 사례가 등장했다. 개원가도 예외 없었다.
서울 A의원 원장은 "진료실 컴퓨터가 랜섬웨어에 감염돼 자료 절반이 날아갔다"며 "이번달 청구도 못하게 생겼다"고 토로했다.
랜섬웨어 우려에 대응하려다 불편함을 겪기도 했다. 최신 보안패치 설치를 위해 윈도우 버전 업그레이드를 했다가 수시간 동안 컴퓨터를 하지 못하는 상황을 겪은 것.
서울 B의원 원장은 "점심 시간을 이용해 윈도우 버전을 업데이트했는데 3시간이 넘도록 업데이트가 이뤄졌다"며 "환자들은 기다리는데 설치 중지를 누를 수도 없어 답답했다"고 말했다.
이 밖에도 한국인터넷진흥원이 제시하고 있는 방법을 따라 해 방화벽 강화에 나섰다 프린터와 호환이 되지 않아 곤혹을 치르는 곳도 속출했다.
랜섬웨어 감염으로 자료 다 잃으면 "의료법 위반 가능성"
랜섬웨어 감염을 직접 경험해본 의원을 비롯해 법률 전문가들은 진료기록의 '백업'이 무엇보다 중요하다고 강조하고 있다.
특히 법으로 진료기록을 보존하도록 정하고 있는 만큼 랜섬웨어 감염으로 진료기록을 잃으면 처벌까지도 받을 수 있다.
의료법 22조와 23조에 따르면 진료에 관한 기록은 보건복지부령으로 정하는 바에 따라 보존해야 하고 안전하게 관리, 보존하는 데 필요한 시설과 장비를 갖춰야 한다.
시설과 장비는 의료법 시행규칙 16조에서 규정하고 있는데 전자의무기록 백업 저장장비, 네트워크 보안에 관한 시설과 장비, 전자의무기록 시스템 보안에 관한 시설과 장비 등을 말한다.
이를 어겼을 때는 의료법 90조에 따라 500만원 이하의 벌금형을 받을 수 있다.
법무법인 서로 최종원 변호사는 "시행규칙에서 정하는 기준 준수 여부를 따지는 데 진료기록을 백업해놓지 않으면 당연히 의료법 위반이 된다"면서도 "법에 따라 진료기록을 백업했는데 바이러스 감염 등으로 날아갔다면 의료법 위반으로 처벌을 받을 수도 있다"고 설명했다.
진료기록 백업을 독립된 저장소에 하는 게 아니고 접수실, 원무과 등 다른 컴퓨터에 저장하거나 컴퓨터 하드의 드라이버를 분리하는 경우에는 랜섬웨어 감염이라는 억울한 상황이 발생해도 법적 처벌을 가능성이 높다는 것.
같은 컴퓨터의 드라이버 분리는 단순 복사 기능에 불과하고 병의원 내 다른 컴퓨터에 저장하는 것은 방화벽이 뚫리면 함께 소실되니 말이다.
의료법뿐만 아니라 개인정보보호법 위반 적용을 받을 수도 있다. 환자 개인정보가 훼손됐기 때문이다.
개인정보보호법 59조에 따르면 정당한 권한 없이 또는 허용된 권한을 초과해 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하면 안 된다. 이를 위반하면 5년 이하의 징역이나 5000만원 이하의 벌금에 처해질 수 있다.
그렇기 때문에 '백업'에 신경을 쏟을 수밖에 없다.
랜섬웨어 감염을 겪은 바 있는 경기도 C내과 원장은 "랜섬웨어 감염 전에는 외장하드에 1주일에 2번 정도 백업하고 본체와 외장하드 연결을 분리해뒀었다"며 "감염 후에는 퇴근 전 매일 진료기록을 외장하느데 백업하고 본체와 분리해놓는 작업을 하고 있다"고 말했다.
서울 D이비인후과 원장도 "매일 진료를 마치고 USB 2개에 백업을 하고 있다"며 "원내 컴퓨터는 청구프로그램 돌릴 때만 사용하고 개인 컴퓨터로 검색 등을 하고 있다. 랜선도 병원용과 개인용으로 따로 뒀다"고 설명했다.
정부 차원에서 데이터 백업 장비인 병의원용 블랙박스 외장하드를 제작, 공급하는 것도 한 방법이라 주장도 나왔다.
대한의사협회 손문호 전 정보통신이사는 "진료 기록 보관은 외부에 하는 게 가장 좋은 방법"이라며 "병의원용 블랙박스 외장하드를 만들어 병의원에 공급하면 백업 부담을 줄일 수 있을 것"이라고 말했다.