의료기관을 겨냥한 랜섬웨어(Ransomware, 사용자 PC를 인질로 삼는 보안 공격)가 기승을 부리는 가운데 서울대병원도 사이버 공격에 노출됐다.

이를 인지한 건강보험심사평가원도 환기 차원에서 일선 의료기관에 각별한 주의를 당부하고 나섰다.

심평원은 지난 9일 "최근 요양기관을 대상으로 악성코드에 감염된 사례가 발생하고 있다"라며 "악성코드에 감염되면 데이터 손실과 더불어 보유한 개인정보 유출도 함께 발생하기 때문에 각별한 주의가 필요하다"고 안내했다.

심평원은 개인정보 보호 활동에 도움이 될 수 있는 온라인 동영상 교육, 자율상담봇 서비스를 자체적으로 운영하고 있다.

심평원은 주의를 당부하며 랜섬웨어 피해 예방 5대 수칙을 제시했다. ▲모든 소프트웨어는 최신 버전으로 업데이트해서 사용 ▲백신 소프트웨어를 설치하고 최신 버전으로 업데이트 ▲출처가 불명확한 이메일과 URL 링크는 실행하지 않음 ▲파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의 ▲중요 자료는 정기적으로 백업 등이다.

심평원이 주의를 당부하고 나선데에는 서울대병원이 사이버공격을 받았다는 사실이 크게 작용했다.

서울대병원은 지난 6일 '사이버공격에 의한 개인정보 유출(의심)에 대한 안내'글을 게시하며 사이버공격을 확인했다고 밝혔다.

서울대병원에 따르면 지난달 5~11일 중 악성코드 감염을 통한 해킹 형태의 사이버공격이 확인됐다. 조사를 하던차에 병원에서 보유중이던 일부 개인정보를 담은 파일의 유출이 의심되는 정황을 확인했다. 이에 교육부, 보건복지부, 개인정보보호위원회, 사이버수사대 등에 신고했다.

그리고 ▲해당 IP 및 접속 경로 차단 ▲서비스 분리 ▲취약점 점검 및 보완조치 ▲모니터링 강화 ▲사용자 PC 비밀번호 변경 ▲유관기관 신고 등의 조치를 취했다.

서울대병원은 개인별로 차이가 있다는 점을 전제하고 "병원등록번호, 이름, 성별, 나이, 생년월일, 주소, 휴대전화번호, 진료과, 진단명, 방문기록, 검사결과, 검사명, 의학사진 등의 개인정보가 유출됐을 것이라고 추정된다"라고 공개했다.

직원은 사번, 이름, 생년월일, 성별, 주민등록번호, 거주지연락처, 연락처, 이메일, 근무부서정보, 직급연차정보, 임용퇴직정보, 휴복직정보, 자격면허정보 등의 정보유출을 의심하고 있는 상황.

서울대병원은 "연관된 직접적인 피해는 아직까지 확인되지 않았다"라며 "유출 가능성이 있는 개인정보는 개인별로 차이가 있어 병원에 등록된 연락처로 개별 연락을 했다. 개인정보 유출로 인한 의심 정황 시 추가 피해가 발생하지 않도록 적극적인 신고를 부탁한다"고 전했다.