병원이 해킹당하면 환자가 죽는다: IoMT 시대의 스마트 병원과 사이버보안의 민낯

도입 — 미충족 수요 또는 배경 문제 제시

2024년 2월, 미국 최대 의료 청구 처리 업체인 Change Healthcare가 랜섬웨어 공격을 받아 미국 전역 약 1만 5,000개 약국과 수천 개 병원의 보험 청구 시스템이 마비됐다. 복구까지 수개월이 소요됐고, 모기업 UnitedHealth Group은 단일 사이버 공격으로 인한 피해액이 약 87억 달러에 달한다고 보고했다. 같은 해 영국 NHS(National Health Service)는 병리검사 파트너사인 Synnovis에 대한 랜섬웨어 공격으로 런던 주요 병원들의 수혈·수술 일정이 수주간 차질을 빚었고, 실제 환자 사망과의 인과관계가 공식 조사 대상에 오르기도 했다.

이것이 단순한 IT 사고가 아닌 생명 위협 사건으로 분류되는 이유는 명확하다. 현대 병원은 더 이상 의사와 환자가 만나는 물리적 공간이 아니다. 인슐린 펌프, 심박 모니터, 인공호흡기, 수술 로봇, CT·MRI 장비, 스마트 병실 환경 제어 시스템까지 수천 개의 의료기기가 네트워크로 연결된 IoMT(Internet of Medical Things) 인프라 위에서 작동한다. 문제는 이 방대한 연결망이 속도와 편의성을 위해 확장되는 동안, 보안 설계는 그 속도를 따라가지 못했다는 것이다.

전통적인 IT 보안의 패러다임은 "데이터 유출 방지"에 초점을 맞춰왔다. 그러나 IoMT 환경에서는 차원이 다르다. 사이버 공격이 곧바로 임상 프로세스의 붕괴로 이어지고, 그 끝에는 환자 안전 침해라는 되돌릴 수 없는 결과가 기다린다. 스마트 병원을 구축하는 일은 곧 사이버 보안을 의료 안전(patient safety)의 핵심 구성요소로 재정의하는 일임을 우리는 아직 충분히 인식하지 못하고 있다.

이 연구/주제가 지금 주목받는 이유 — 최근 미디어 보도, 빅테크·바이오테크 투자 동향, 글로벌 보건 정책 변화 등 대중적·비즈니스적 맥락과 연결해서 설명

📈 시장 규모: 이미 멈출 수 없는 흐름

글로벌 IoMT 시장은 2023년 기준 약 1,040억 달러 규모로 평가되며, 2032년까지 연평균 성장률(CAGR) 약 18~20%로 성장해 5,000억 달러를 넘어설 것으로 전망된다. 병원 내 연결 의료기기 수는 기관당 평균 수천 개에 달하며, 대형 상급종합병원의 경우 수만 개의 엔드포인트가 병원 네트워크에 상시 연결된 상태다.

빅테크의 진입도 가속화되고 있다. Microsoft는 Azure Health Data Services를 통해 병원 IoMT 데이터를 클라우드에서 통합·분석하는 플랫폼을 강화하고 있고, Google Cloud는 Healthcare API와 Vertex AI를 결합해 임상 데이터 파이프라인 구축을 지원한다. Amazon Web Services(AWS)는 HealthLake를 통해 FHIR 기반 의료 데이터 레이크를 제공하며 스마트 병원 인프라의 백엔드를 사실상 장악하려 하고 있다.

사이버보안 벤처 투자도 폭증했다. 의료 사이버보안 전문 스타트업 Claroty, Medigate(현 Claroty 합병), Armis, Cynerio 등은 수억 달러 규모의 투자를 유치하며 의료기기 보안 시장의 새로운 카테고리를 열었다.

🏛️ 규제 환경의 급격한 변화

미국 FDA는 2023년 3월, 의료기기 제조사에게 **사이버보안 설계 명세(Cybersecurity Design Specifications)**를 제출하도록 의무화하는 「사이버보안 강화법(Consolidated Appropriations Act, 2023)」 조항을 발효시켰다. 이는 의료기기가 출시 전 단계부터 보안 취약점 관리 계획(SBOM: Software Bill of Materials 포함)을 갖춰야 함을 의미한다.

유럽연합은 2024년부터 적용되는 **NIS2 지침(Network and Information Security Directive 2)**을 통해 의료기관을 "핵심 기반시설"로 분류하고 강화된 사이버보안 의무와 72시간 이내 사고 보고 의무를 부과했다. 국내에서도 보건복지부와 한국인터넷진흥원(KISA)은 의료기관 사이버보안 가이드라인을 지속적으로 업데이트하고 있으며, 상급종합병원을 대상으로 한 정보보호 관리체계(ISMS-P) 인증 요건이 강화되는 추세다.

🔴 사건·사고가 만드는 인식의 전환

2020년 독일 뒤셀도르프 대학병원 랜섬웨어 공격은 IT 시스템 마비로 응급환자가 다른 병원으로 이송 중 사망한 사건으로, 사이버 공격이 직접적 사망 원인으로 지목된 최초의 사례 중 하나로 기록되었다. 이후 의료기관 사이버 공격은 단순한 "개인정보 유출" 사건에서 형사·민사 법적 책임이 수반되는 환자 안전 사고로 그 법적 성격이 재규정되는 추세다.

핵심 분석 — IoMT 아키텍처와 사이버보안 리스크의 실체

1. 스마트 병원 IoMT 아키텍처의 구조

현재 스마트 병원 IoMT 아키텍처는 일반적으로 5계층 모델로 설명된다.

[계층 5] 클라우드·분석 레이어
         ↕ (API / HL7 FHIR / HTTPS)
[계층 4] 병원 엔터프라이즈 네트워크 (EMR, PACS, HIS)
         ↕ (내부 네트워크 / VPN)
[계층 3] 엣지 컴퓨팅 / 게이트웨이 레이어
         ↕ (Wi-Fi / BLE / Zigbee / LoRa)
[계층 2] 의료기기 네트워크 레이어
         (인퓨전 펌프, 모니터, 영상장비 등)
[계층 1] 물리적 센서·액추에이터 레이어
         (웨어러블, 스마트 베드, 환경 센서)

각 계층 간 데이터가 이동하는 경로마다 공격 표면(attack surface)이 존재한다. 특히 **계층 2(의료기기 네트워크)**는 가장 심각한 취약 지점으로 꼽힌다. 이유는 다음과 같다.

• 레거시 운영체제 의존성: 상당수 의료기기는 Windows XP, Windows CE, 또는 구형 임베디드 Linux 위에서 동작하며, 제조사 지원 종료(EOL) 이후에도 임상 환경에서 10~15년 이상 사용된다.
• 패치 불가 구조: FDA 인허가를 받은 의료기기는 소프트웨어 변경 시 재인허가가 필요한 경우가 있어, 제조사가 보안 패치 적용을 꺼리는 구조적 인센티브가 존재한다.
• 기본 자격증명 사용: 다수의 의료기기가 출고 시 기본 계정(admin/admin 등)을 그대로 사용하며, 임상 현장에서 이를 변경하지 않는 경우가 빈번하다.
• 암호화 미적용 통신: Bluetooth Low Energy(BLE), 구형 Wi-Fi 프로토콜, proprietary RF 통신을 사용하는 기기들은 통신 구간 암호화가 부재한 경우가 많다.

2. 주요 사이버보안 리스크 벡터

① 의료기기 직접 공격 (Device Compromise)

FDA 및 민간 보안 연구기관들의 보고에 따르면, 인슐린 펌프·심박 조율기·인퓨전 펌프 등의 기기에서 원격 명령 실행이 가능한 취약점이 반복적으로 발견되어 왔다. 2019년 FDA는 Medtronic의 인슐린 펌프 무선 프로토콜 취약점에 대해 공식 사이버보안 권고(Cybersecurity Advisory)를 발령한 바 있다. 이론적으로 약물 용량을 원격 조작하거나 기기를 비활성화할 수 있는 취약점이다.

② 횡적 이동(Lateral Movement)을 통한 핵심 시스템 침투

공격자가 보안이 취약한 의료기기 하나를 장악한 후, 동일 네트워크 세그먼트 내 EMR(전자의무기록) 서버, PACS(의료영상 저장전송 시스템), 또는 OT(운영기술) 제어 시스템으로 이동하는 패턴이다. 네트워크 세그멘테이션(격리)이 제대로 구현되지 않은 병원에서 빈번하게 발생한다.

③ 공급망 공격(Supply Chain Attack)

의료기기 펌웨어, 병원 정보 시스템(HIS) 소프트웨어 업데이트, 또는 서드파티 유지보수 접속 채널을 통한 침투다. Change Healthcare 사례가 대표적으로, 병원이 직접 공격받은 것이 아니라 연결된 협력업체가 공격받아 전체 생태계가 붕괴된 경우다.

④ 랜섬웨어 및 데이터 탈취

의료 데이터는 다크웹에서 신용카드 정보보다 훨씬 높은 가격에 거래된다. 전자의무기록, 영상 데이터, 유전체 정보 등은 신원도용, 보험 사기, 국가 안보 위협에 활용될 수 있어 공격자의 최우선 표적이 된다.

3. 핵심 방어 아키텍처: 제로 트러스트 의료 네트워크

현재 가장 강력하게 권고되는 접근법은 **제로 트러스트 아키텍처(ZTA: Zero Trust Architecture)**의 의료 환경 적용이다. 미국 국립표준기술원(NIST)의 SP 800-207은 ZTA의 핵심 원칙을 "아무것도 신뢰하지 않고, 항상 검증하라(Never Trust, Always Verify)"로 정의한다.

의료 환경에서 ZTA 구현의 핵심 요소는 다음과 같다:

4. 최신 연구 동향: AI 기반 위협 탐지

기존의 시그니처 기반 침입 탐지(IDS)는 의료 환경에서 두 가지 한계를 갖는다. 첫째, 의료 프로토콜(HL7, DICOM, FHIR)에 최적화되어 있지 않아 정상 임상 트래픽을 공격으로 오인하는 오탐(false positive) 비율이 높다. 둘째, 제로데이 공격에 대응이 불가능하다.

최근 연구들은 **기계학습 기반 이상탐지(Anomaly Detection)**에 주목한다. 의료기기별 정상 통신 패턴(통신 빈도, 데이터 크기, 접속 대상 IP 등)을 베이스라인으로 학습한 후, 편차가 발생할 때 경보를 발령하는 방식이다. Autoencoders, LSTM(Long Short-Term Memory), 그래프 신경망(GNN) 등이 의료기기 트래픽 이상탐지에 적용되고 있으며, 일부 연구에서 99% 이상의 탐지 정확도를 보고하고 있다. 그러나 이는 통제된 실험실 환경에서의 수치이며, 실제 병원 네트워크의 복잡성과 노이즈를 고려할 때 현장 적용 성능은 이보다 낮을 수 있다.

임상·비즈니스 가치 — 실제 의료 현장 또는 헬스케어 시장에서의 적용 가능성과 한계

✅ 현재 구현 가능한 가치

임상적 가치:
스마트 병원 IoMT 인프라가 안전하게 구축될 경우, 환자 모니터링 데이터의 실시간 통합으로 조기 경보 시스템(EWS)의 정확도가 향상되고, 인공지능 기반 패혈증 조기 탐지, 낙상 예방, 욕창 모니터링 등이 가능해진다. 실제로 미국의 여러 상급 의료기관들은 IoMT 통합 플랫폼을 통해 ICU 환자의 예방 가능 사망률을 유의미하게 낮춘 결과를 보고하고 있다.

비즈니스 가치:
의료 사이버보안 투자의 ROI(투자수익률)는 직관적이지 않지만, 사고 발생 시 비용을 역산하면 명확해진다. IBM Security의 「Cost of a Data Breach Report 2023」에 따르면 의료 산업의 평균 데이터 침해 비용은 약 1,093만 달러로, 전 산업군 중 13년 연속 최고 수준을 기록했다. 이는 직접 복구 비용 외에도 운영 중단, 규제 과징금, 소송, 평판 손실 등을 포함한 수치다.

시장 기회:
의료 사이버보안 솔루션 시장은 2023년 약 170억 달러에서 2030년 약 450억 달러로 성장이 전망된다. 특히 의료기기 보안(IoMT Security), 클라우드 기반 의료 데이터 보안, 컴플라이언스 자동화 분야에서 빠른 성장이 예상된다.

⚠️ 현실적 한계와 과제

1. 임상 워크플로우와 보안의 충돌

보안 강화 조치의 가장 큰 적은 임상 현장의 효율성 요구다. 응급 상황에서 MFA를 위해 추가 인증 단계를 밟는 것은 생명을 위협하는 지연이 될 수 있다. "보안이 강할수록 쓰기 불편하고, 쓰기 편할수록 보안이 약하다"는 딜레마는 의료 환경에서 특히 첨예하다. 이를 해소하기 위한 맥락 인식 인증(Context-Aware Authentication), 역할 기반 자동 접근 제어(RBAC) 등의 기술이 연구되고 있으나, 완전한 해법은 아직 없다.

2. 레거시 기기의 현실적 교체 불가

전 세계 병원에서 운영 중인 의료기기의 상당 비율이 보안 업데이트가 불가능한 레거시 시스템이다. 이를 즉시 교체하는 것은 막대한 비용과 인허가 과정 때문에 현실적으로 불가능하다. 단기적 대안으로는 가상 패치(Virtual Patching) — 즉, 기기 자체를 수정하지 않고 네트워크 레벨에서 알려진 취약점에 대한 트래픽을 차단하는 방식 — 이 활용되지만, 이것도 완전한 해결책은 아니다.

3. 인력 부족과 보안 문화의 부재

국내외를 막론하고 의료 IT 및 보안 전문 인력은 절대적으로 부족하다. 대부분의 중소병원은 전담 보안 인력이 없으며, 임상 직원들의 사이버보안 교육 수준도 미흡하다. 피싱 이메일 클릭, 개인 기기의 병원 네트워크 접속, 취약한 비밀번호 사용 등 인적 요인에 의한 침해가 전체 사고의 상당 부분을 차지한다.

4. 국내 규제의 현실적 간극

국내 의료기관의 경우 「의료법」, 「개인정보보호법」, 「정보통신망법」 등이 중첩 적용되는 복잡한 규제 환경에 있으나, IoMT 기기별 사이버보안 인증이나 의료기기 소프트웨어 SBOM 제출 의무 등은 아직 미국·EU 수준에 미치지 못한다. 선제적 규제 정비 없이 기술 도입만 빠르게 진행될 경우, 취약성의 규모는 기하급수적으로 커질 수 있다.

🔭 향후 방향: 설계 단계에서의 보안(Security by Design)

진정한 해법은 IoMT 기기와 병원 정보 시스템이 **처음 설계 단계에서부터 보안을 내재화(Security by Design)**하는 것이다. 이를 위해서는 의료기기 제조사, 병원, 규제기관, 사이버보안 전문가가 함께하는 생태계 수준의 협력이 필요하다. FDA의 새로운 의료기기 사이버보안 지침, EU의 Medical Device Regulation(MDR)에 포함된 사이버보안 요건, 그리고 국내 식품의약품안전처의 디지털의료제품법 논의들이 이 방향으로 수렴하고 있다는 점은 고무적이다.

스마트 병원은 선택이 아니라 필연이다. 그러나 그 스마트함이 공격자에게도 열려 있는 문이어서는 안 된다. 사이버보안은 병원의 IT 부서만의 문제가 아니라, CEO·CMO·간호사·의사 모두가 함께 책임지는 환자 안전의 핵심 축으로 재정의되어야 할 시점이다.

References

• Kruse CS, Frederick B, Jacobson T, Monticone DK. Cybersecurity in healthcare: A systematic review of modern threats and trends. Technology and Health Care. 2017;25(1):1–10. https://doi.org/10.3233/THC-161263

• Jalali MS, Kaiser JP. Cybersecurity in hospitals: A systematic, organizational perspective. Journal of Medical Internet Research. 2018;20(5):e10059. https://doi.org/10.2196/10059

• Coventry L, Branley D. Cybersecurity in healthcare: A narrative review of trends, threats and ways forward. Maturitas. 2018;113:48–52. https://doi.org/10.1016/j.maturitas.2018.04.008

• Papoutsis K, Kotis K, Skavantzos P. A survey on IoMT security: Threats, countermeasures, and future directions. Future Internet. 2023;15(6):200. https://doi.org/10.3390/fi15060200

• Rose S, Borchert O, Mitchell S, Connelly S. Zero Trust Architecture. NIST Special Publication 800-207. National Institute of Standards and Technology; 2020. https://doi.org/10.6028/NIST.SP.800-207

• U.S. Food and Drug Administration. Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions. FDA Guidance Document; 2023. Available from: https://www.fda.gov/media/119933/download (접속일: 2025년 6월)

• IBM Security. Cost of a Data Breach Report 2023. IBM Corporation; 2023. Available from: https://www.ibm.com/reports/data-breach (접속일: 2025년 6월)

• European Union Agency for Cybersecurity (ENISA). Cybersecurity in Hospitals: A Practical Guide on Information Security for Health Institutions. ENISA; 2023. Available from: https://www.enisa.europa.eu/publications/cybersecurity-guide-for-hospitals (접속일: 2025년 6월)

• Newaz AI, Sikder AK, Rahman MA, Uluagac AS. A survey on security and privacy issues in modern healthcare systems: Attacks and defenses. ACM Transactions on Computing for Healthcare. 2021;2(3):1–44. https://doi.org/10.1145/3453176

• 한국인터넷진흥원(KISA). 의료기관 사이버보안 가이드. KISA; 2023. Available from: https://www.kisa.or.kr (접속일: 2025년 6월)