글로벌 의료 데이터 보안 기업 페이션트 프로텍트(Patient Protect)가 소규모 의료기관의 HIPAA 위반으로 인한 10년간의 재정적 파장을 모델링한 ‘ePHI 노출의 경제학: 의료 데이터 유출의 장기적 영향 모델’ 보고서를 발표했다.

보고서에 따르면 2024년 한 해 동안 의료 데이터 침해로 인해 약 2억 5900만 명의 미국인의 보호 건강 정보(PHI)가 노출됐다. 이는 미국 인구의 약 81%에 해당하는 수치다.

페이션트 프로텍트는 이같은 유출이 단발적 IT 사고가 아니라 수년간 이어지는 재정적 손실이라는 점을 강조하며, 특히 자원이 부족한 소규모 독립 의료기관이 장기적 피해에 더욱 취약하다고 밝혔다.

소규모 병원, 충격 흡수 어려운 구조...예측 모델 도입

보고서에 따르면 대규모 의료 시스템은 사이버 공격의 충격을 흡수할 여력이 있지만, 소규모 의료기관은 유출 이후 심각한 재정난에 직면하게 된다. 보고서는 의료기관 규모, 침해 기록 수, 보안 등급, 환자 영향 등을 변수로 한 정량적 예측 모델을 통해 유출 이후 10년간의 피해를 추산한다. 이 모델은 단순한 체크리스트를 넘어서, 소규모 병원이 실질적으로 직면할 수 있는 재정 손실과 환자 피해를 반영하는 구조를 갖췄다.

시큐어 케어 리서치 인스티튜트(Secure Care Research Institute)가 개발한 이 모델은 공익적 목적의 연구를 기반으로 하며, 의료 형평성과 사이버 보안 정책 투명성 강화를 목표로 한다. Patient Protect 공동 창립자 겸 CEO 알렉산더 페린은 “우리는 의료 산업 내 데이터 유출 비용의 장기적 파장을 수치로 정량화함으로써, 업계의 공백을 메우고자 했다”고 말했다.

계산기와 인포그래픽으로 피해 추정...예방 인식 제고

보고서에는 의료 침해의 평균 비용, 무보험 의료 비율, 환자 피해 지표 등의 통계가 인포그래픽 형태로 정리돼 있으며, 이를 통해 미국 의료 시장 내 침해의 위험성과 범위를 한눈에 파악할 수 있다. 또한 Patient Protect는 의료기관이 자사의 규모와 보안 태세에 따라 침해 노출 정도를 시뮬레이션할 수 있도록 무료 ‘HIPAA 침해 비용 계산기’를 제공하고 있다.

이 도구는 사용자에게 유출 기록 수, 보안 등급, 기관 규모 등 입력값을 바탕으로 10년간의 재정 영향을 산정한다. 이를 통해 소규모 의료기관은 기존의 단기 대응 방식에서 벗어나 장기적 대응 전략을 수립할 수 있는 기반을 마련할 수 있다.

이번 보고서는 의료 데이터 유출이 단순히 기업의 IT 문제가 아닌, 환자의 건강권과 사회적 신뢰를 저해하는 구조적 위협임을 시사한다. 특히 공공 의료 시스템에 대한 의존도가 높은 사회에서는 소규모 의료기관의 폐쇄나 서비스 축소로 이어질 경우 의료 접근성 문제로 확산될 수 있다. 이에 따라, 의료보건 정책 입안자와 산업계는 보다 실질적이고 계량화된 보안 투자 모델 수립이 요구된다.

페이션트 프로텍트의 CEO 알렉산더 페린(Alexander Perrin)은 “대규모 시스템은 충격을 흡수할 수 있지만, 독립적인 의료 제공자는 종종 그렇지 못하다.”라며 “우리는 오늘날 유출 비용뿐만 아니라 수년 후의 의미까지 정량화하는 업계의 격차를 메우기 위해 이 모델을 구축했다.”라고 전했다.