의료 산업은 디지털 혁신의 중심에 서 있는 동시에, 사이버 보안 위협의 최전선에 위치하고 있다.

의료 사이버 보안 기업 포티파이드 헬스 시큐리티(Fortified Health Security)가 의료 데이터 침해 통계와 사이버 보안 위협의 변화를 구체적으로 분석한 ‘2025 호라이즌 리포트(Horizon Report)’ 보고서를 발표했다.

이 보고서는 의료 산업이 직면한 심각한 사이버 보안 위협을 조명하며, 환자 기록의 대규모 노출과 보안상의 과제를 구체적으로 제시하고 있으며, 의료 기관과 관련된 최신 사이버 보안 동향, AI의 역할, 입법 변화, 그리고 실질적인 해결책을 포함한 내용을 담고 있다.

2024년 주요 의료 데이터 침해 현황

보고서에 따르면 2024년 동안 노출된 환자 기록의 총수는 1억 6800만 건에서 1억 8300만 건으로 9% 증가했다. 이러한 수치는 의료 산업이 디지털 전환 과정에서 보안 위협에 더욱 취약해지고 있음을 보여준다.

특히, 의료 청구 관리 기관(Healthcare Clearing Houses)에서의 사이버 공격이 2000% 이상 급증한 점은 주목할 만하다. 이는 대규모 환자 데이터를 관리하는 기관이 사이버 위협에 얼마나 민감한지를 드러낸다. 비즈니스 어소시에이츠(의료 관련 서비스 제공업체)에서 발생한 공격은 전체 비율은 감소했지만, 여전히 노출된 환자 기록의 67%를 차지하며 가장 큰 위협 요소로 남아 있다.

또한, 네트워크 서버가 가장 흔한 침해 위치로 확인되었으며, 피싱 공격은 위협 행위자들의 주요 전술로 강화되었다. 이메일 침해는 2024년 동안 18% 증가하여 의료 기관의 사이버 보안 체계를 더욱 압박하고 있다.

2025년 의료 보안의 주요 도전 과제

포티파이드 헬스 시큐리티의 CEO 댄 도슨은 "2025년에 들어서면서 의료 산업은 사이버 공격의 증가, AI의 지속적인 발전, 엄격한 규제, 그리고 재정적 압박이라는 복합적인 도전에 직면하고 있다"고 지적했다. 도슨은 보고서에서 "이러한 복잡한 문제들에는 단일한 해결책이 존재하지 않는다. 사이버 보안의 효과적인 구축을 위해서는 협업이 필수적"이라고 강조했다.

보고서는 또한 의료 기관들이 AI와 타사 위험 관리를 포함한 새로운 기술 및 운영 모델을 적극적으로 도입해야 함을 시사한다. AI는 병원 운영 효율성을 높이고, 위협 감지 및 대응 능력을 강화할 수 있지만, 이와 동시에 새로운 위협을 초래할 가능성도 있다.

의료 사이버 회복력의 필요성과 전략

2024년의 대규모 침해 사례는 의료 기관들이 사이버 보안 문제를 얼마나 심각하게 받아들여야 하는지를 보여준다. 특히, 체인지 헬스케어(Change Healthcare)에서 발생한 침해 사건은 미국 의료 역사상 가장 큰 규모로 기록되었으며, 의료 산업 전반에 충격을 주었다.

보도서는 의료 기관이 사이버 보안 위협에 대응하기 위해 사이버 회복력을 구축하는 데 필요한 실질적인 지침을 제공한다.

① 피싱 방지 교육 강화 : 직원들에게 최신 피싱 기법과 이를 방지하는 방법을 교육해야 한다.

② 위협 탐지 기술 도입 : AI 기반 위협 탐지 솔루션을 통해 실시간으로 사이버 공격을 식별하고 대응할 수 있어야 한다.

③ 타사 리스크 관리 : 외부 공급업체와 협력할 때 데이터 보안 조치를 철저히 검토하고 인증된 보안 기준을 충족해야 한다.

④ 규제 준수 : 지역 및 국제적 규제 변화에 민감하게 반응하며, 이에 따른 보안 체계를 유지해야 한다.