보건 관련 사이버 안보 위협과의 전쟁

가상 세계가 공공 보건으로부터 배울 수 있는 교훈

세바스찬 케바니(Sebastian Kevany)박사 및 데온 캐니언(Deon Canyon) 박사/대니얼 K 이노우예 아시아 태평양 안보 연구소

2021년 5월 아일랜드의 보건 시스템에 대한 사이버 공격은 사이버 안보 영역과 공공 보건 영역이 어떤 교집합을 갖는지를 명확하게 보여주었다. 해커들은 암호화 프로세스를 통해 의료 시스템을 무력화하고, 서비스를 마비시키고, 수술과 기타 필수 서비스를 연기하게 만들어 소중한 생명들을 위험에 빠뜨렸다.

아일랜드 정부는 해킹 조직에 그들이 요구하는 금액을 지불하는 것과 기밀로 보관 중인 보건 정보를 공개하는 것 사이의 득실을 따져야 했다. 하지만 아일랜드 국민은 몸값 지불에 대한 반감을 가지고 있었고 이에 대해 혐오 및 분노를 느끼고 있었다. 여기 더해 아일랜드 정부가 정보 사용 금지 명령을 내리면서 해킹 조직을 효과적으로 차단할 수 있었고, 개인 정보 유출이나 의료 기록 훼손을 피할 수 있었다.

아일랜드의 경험은 세계에 중요한 교훈을 준다. 첫째, 보건 시스템은 은행과 기타 주요 사회 메커니즘과 동일한 방식으로 강력한 사이버 안보를 통해 보호해야 한다. 둘째, 보건 시스템은 종이 기록 대신 디지털 기록에 대한 의존도가 높아짐에 따른 위험을 인식해야 한다. 셋째, 개인 건강 정보 프라이버시를 어느 정도까지 지켜야 하는지에 대한 많은 질문에 우리는 아직 답을 찾지 못했다.

병인(病因)학과 해결책 면에서 사이버 안보와 허위 정보는 모두 개별적인 문제지만 인터넷 규제는 이들을 모두 포함하는 개념이다. 마찬가지로 개인 식별 가능 정보와 기밀로 보관하는 보건 정보도 가상 문제이면서 동시에 실체적인 문제다. 여기서 우리는 이러한 이질적이고 뚜렷한 개념을 공공 보건, 보건 안보, 사이버 건강을 아우르는 프레임워크에서 통합해보려 한다.

현대 사이버 환경

현대의 불안한 사이버 공간과 규제 없는 인터넷은 현대의 ‘와일드 웨스트(정착기 미국 서부)로 묘사된다. 즉, 사이버 공간과 인터넷은 전통적인 규칙, 명령, 법률을 적용할 수 있더라도 집행이 거의 불가능한 영역이다. 언어 폭력 및 인종 차별부터 정치와 사회 문제에 대한 극단주의 입장, 연령이나 교육 수준에 관계없이 인터넷에 연결된 모든 사회 구성원이 약물, 포르노, 기타 극단적이거나 폭력적인 콘텐츠를 상대적으로 쉽게 사용할 수 있는 등 우리는 극단적인 사이버 자유를 주변에서 흔히 목격한다.

그리고 이러한 요소들이 한데 모여 사회와 공공 보건을 위협하며 다양한 국가 및 국제 안보 문제를 일으키고 있다. 그러나 현재 인터넷에 나타나는 초국가적인 표현의 자유, 거래, 가상 이동이 정부나 감시 노력으로 통제될 가능성은 매우 낮아 보인다. 국가 또는 초국가적 통제 기관이 없는 상황에서 현 상태는 계속될 것이다. 더욱 엄격한 국가 인터넷 정책을 시행하는 국가들도 국제적으로는 이런 극단적 자유에 노출될 수밖에 없고, 사이버 공간의 글로벌하고 비순응적인 특성으로 인해 혼란에 빠질 수밖에 없다.

하지만 국가는 사이버 자유와 보건 및 안보 위협 사이에 균형을 잡아야 한다. 극단적인 사이버 자유는 허위 정보는 물론 극단주의 및 테러 조직의 성장을 촉진할 수 있다. 그러나 검열과 인터넷 통제는 권위주의 정권의 권력과 통제를 강화할 수 있기 때문에 안보와 보건에 위협이 될 수 있다.

위의 문제 중 다수는 안보 위협뿐만 아니라 세계 공공 보건 위협으로 분류될 수 있으며 사실상 모든 위기는 건강에 영향을 미친다. 따라서 이 문제에 대한 광범위한 국내외적 대응의 일환으로 공공 보건 측면에서 사이버 극단주의에 종합적으로 대응하는 기회가 있을 수 있다.

사이버와 보건의 독특한 결합

보건 시스템은 특히 해킹에 취약하다. 그 부분적 이유로는 정보의 민감성과 잠재적인 몸값 금액을 들 수 있다. 2020년 연구 기관 베커 헬스는 작년 데이터 침해 중 단 1.5퍼센트만이 보건 관련 사이버 사고였지만 조사 대상 미국 병원 중 82퍼센트가 사이버 안보 사고를 경험했다고 밝혔다. 해킹된 기록당 평균 비용은 미화 408달러로서 다른 산업의 2~5배에 달한다.

더불어 베리존의 《2021년 데이터 침해 조사 보고서》에 따르면 보고된 사고 중 2.2퍼센트(655건)와 전 세계에서 보고된 데이터 침해 중 9퍼센트(472건)가 보건 의료 산업에서 발생했다. 또한 주로 내부자가 이러한 공격을 실행했던 2019년에 비해 외부 공격이 61퍼센트로 증가했다. 해커들이 밝힌 이러한 공격의 동기는 금전적 이유 93퍼센트, 재미 3퍼센트, 첩보 2퍼센트, 원한 1퍼센트, 편의 1퍼센트로 알려졌다. 이와 관련하여 덧붙일 것은 보건 시스템에 대한 사이버 공격이 갈수록 정교해지고 있으며 이제 해커들은 의료 기록과 이미지 스캔을 훔치는 것 외에도 수정도 할 수 있다는 것이다.

사이버 환경에서 기밀 정보가 유출되는 원인에는 크게 세 가지가 있다. 전체 데이터 침해 중 악성 및 범죄 공격이 48퍼센트, 인적 오류가 27퍼센트, 시스템 오류가 25퍼센트를 차지한다. 보건 의료 기관의 사이버 사고는 고객과 환자에게 더욱 심각한 영향을 미친다. 이들은 집단 소송을 제기하고 다른 분야에서보다 거래 기관을 바꿀 가능성이 크다.
보건 의료 기관은 이에 대응하여 소프트웨어를 업데이트하거나 전체 네트워크를 교체해야 하기 때문에 상당한 비용이 소요될 수 있다. 이러한 맥락에서 북한이 후원한 2017년 워너크라이 랜섬웨어 같은 일부 공격은 의료 기기뿐만 아니라 보건 서비스도 노린다.

더 구체적인 동기는 향후 사이버 공격을 유발할 수 있다. 지금으로서는 사이버 암살도 이론적으로 가능하다. 해커가 환자나 병동에 대한 공기 흐름을 차단하거나, 엘리베이터를 멈추어 환자를 응급 수술실로 옮기는 것을 막거나, 환자 스캔을 조작하여 응급 수술을 시작하게 하거나, 생명을 구하는 의료 기기의 기능을 변경할 수 있기 때문이다. 앞으로 테러리스트나 국가 후원 공격은 시장을 조작하기 위해 대형 보건 의료 기관을 공격하고 지식 재산을 해킹할 수도 있을 것이다.

공공 보건 및 사이버 보건 병행

2020년 코로나19 팬데믹 기간 중 보건 의료 관련 조직에 대한 사이버 공격이 두 배 증가했으며 이중 28퍼센트에 랜섬웨어가 사용됐다. 2021년 크라우드스트라이크의 글로벌 위협 보고서에 따르면 피싱 공격이 가장 위험하며, 이러한 해킹 전에는 질병 추적, 시험, 치료에 대한 정보를 찾는 개인 착취, 세계보건기구와 미국 질병통제예방센터를 포함한 의료 기관을 사칭하여 정보 요청, 개인 정보를 대가로 대출 또는 정부 경기 부양 패키지 제공 등이 있다.

위에서 언급한 바와 같이 인터넷 규제는 사이버 안보와 구별되며, 공공 보건 분야의 허위 정보에 개별적으로 또 명백하게 기여할 수 있다. 그러나 대부분의 인터넷 규제 노력은 전반적으로 성공적이지 못했고, 가장 최근에는 공공 보건 영역에서 백신 음모론과 관련 유사 과학으로 대표되는 가짜 정보와 허위 정보를 증폭하는 데 인터넷이 사용됐다. 인터넷 규제를 시행하거나 악의적인 활동을 조절하기 위한 수단이 있다고 하더라도 인터넷 규제만으로는 문제를 해결하기에 불충분하다.

공공 보건과 사이버 영역은 대부분의 용어를 함께 사용한다. 대표적으로 바이러스, 스캔, 버그 등의 사이버 안보 용어는 모두 의료 영역에서 가져온 것이다. 마찬가지로 사이버 위협은 전염병 위협과 공통점이 많기 때문에 유행병 상황처럼 종종 가속과 감소의 주기를 보인다. 이제 사이버와 공중 보건에 고려해야 할 사항은 모두 명백하게 글로벌한 특징을 갖는다. 따라서 전염병과 바이러스에 대한 공공 보건 당국의 대응에서 사이버 위협에 대응하는 법을 개념화하는 방법을 많이 배울 수 있을 것이다.

공공 보건 내의 해법?

공공 보건 캠페인은 성공의 역사를 갖고 있다. HIV/AIDS에대한 예방 메시지부터, 성병, 말라리아 또는 결핵에 대한 보건 교육, 알마 아타 같은 기본 보건 의료 선언까지, 세계보건기구, 세계은행, 유엔 AIDS 프로그램, AIDS, 결핵, 말라리아 퇴치를 위한 글로벌 기금 등의 조직과 미국 대통령의 긴급 AIDS 구호 계획 등 양자간 이니셔티브의 노력으로 글로벌 보건은 비약적으로 성장했다.

따라서 사이버 인식 메시지와 공공 보건 캠페인을 상호 통합하면 국민에게 사이버 공간에서 쉽게 일어날 수 있는 위험과 허위 정보에 대해 교육하는 의미 있는 방법이 될 수 있다. 이에 다음과 같은 정책을 제안한다.
• HIV/AIDS와 기타 전염병에 대한 보건 캠페인을 확대하여 치료와 예방에 관한 온라인 허위 정보를 경고할 수 있다. 이러한 간접적인 방법으로 많은 개발도상국 내 보건과 사이버 인식을 향상시켜, 국민들이 온라인에서 읽은 보건과 기타 분야의 정보를 무조건적으로 신뢰하지 않도록 장려할 수 있다.
• 또한 세계보건기구와 기타 유엔 기구가 사이버 공간의 일반적인 가짜 정보에 대응하는 데 더 직접적으로 개입할 수 있는 분야가 있을 것이다. 여기에는 극단주의와 테러와 같은 영역이나 공공 정신 또는 신체 보건 부문에서 인터넷 “사실”과
“가짜 뉴스”를 경고하는 정책과 메시지 캠페인이 포함될 수 있다.
• 인터넷 개인 정보 보호의 기본 원칙은 보건 시스템의 기능, 몸값 요청, 해킹 위협에 균형을 맞춰 검토해야 한다. 인터넷의 다양한 이점을 즉시 활용하기 위해 사람들은 일상적으로 개인 정보를 거래하고 있기 때문에 개인 정보 보호는 더 이상 신성불가침이 아닐 수 있다. 마찬가지로 데이터 프라이버시에 대한 강조를 줄이면 데이터 공유와 실시간 벡터 추적을 통해 향후 전염병을 예방하고 제한하는 데 큰 도움이 될 수 있다.
• 추적할 수 없는 해킹을 허용하는 대부분의 앱, 조직, 기업은 미국과 유럽에 기반하고 있다. 토르 오니언 프로젝트 같은 일부 프로젝트는 해커가 몸값을 노리는 동안 자유롭게 익명으로 활동할 수 있게 허용한다. 이러한 앱은 인터넷을 통해 반체제 언론과 기타 고귀한 대의가 자유롭게 익명으로 소통할 수 있도록 제작됐지만, 몸값, 해킹, 인신 매매, 무기 거래 같은 다양한 다크 웹 활동도 촉진한다. 이러한 범죄 행위를 허용하는 정책은 검토해야 할 수 있다.
• 이제 반드시 필요한 것은 사이버 안보 문제에 대한 기술 기반 솔루션이다. 여기에는 민감한 개인 및 보건 정보 관리, 물리 및 기술적 보호, 인터넷 기반의 가짜 정보를 처리하기 위한 국가 및 국제 인터넷 규정 강화가 포함된다.
• 보건 의료 부문에서 사이버 안보를 정보 기술 문제로 여기고 우선순위를 부여하는 리더십이 변해야 한다. 이는 기업 위험 관리 접근법이 필요한 환자 치료의 위협으로 급부상했다.

광범위한 사이버 위협을 제어하는 데는 시간이 걸리지만 모든 관련 조직의 자원을 활용하는 다분야 대응을 통해 극단적인 사이버 자유의 암흑 시대를 끝낼 수 있을 것이다. 개인 보건에 대한 위협은 국내외 고위 보건 당국이 제시하는 경우 진지하게 받아들여진다. 널리 퍼지고 있는 사이버 안보 위협 그리고 글로벌 보건과 사이버 안보 위협의 결합에도 같은 원리를 적용해 고위 당국이 나서야할 것이다.

본 기사는 2021년 7월 대니얼 K 이노우예 아시아 태평양 안보 연구소의 온라인 저널 시큐리티 넥서스에 처음 실린 글을 포럼 형식에 맞게 편집한 것이다.