의사단체가 원격의료체계 기술적 안전성 평가 연구를 시행한 결과, 보안기능이 갖춰져 있지 않은 원격의료가 시행될 경우 2000억원에서 2700억원 가량의 피해가 발생할 것으로 예측했다.

대한의사협회 의료정책연구소는 28일 오후 1시 30분에 예정된 '원격의료 안전성 평가 연구 보고회 및 기자간담회'에 앞서 보도참고자료를 통해 2014년 10월 29일부터 2015년 7월 31일까지 고대 정보보호대학원에서 수행한 연구결과를 발표했다.

원격의료 서비스와 관련된 일부 기관(보건소, 마을회관)의 협조로 원격의료 서비스 절차 및 운영현황을 조사한 결과 비 암호화 통신, 악성코드 감염 노출, 비밀번호 설정 취약, 파일 외부 전송 통제 불가, PC 보안 프로그램 미설치, 저 품질의 영상, ID카드 도용으로 인한 오진 발생 가능, 외부인의 시스템에 대한 접근차단 조치 부실, 서비스 이용 교육 및 정보 제공 부재, 이용자 개인정보 동의 및 관리절차 부재 등의 문제가 발생했다. 특히 연구팀은 최근 발생한 약학정보원 정보 유출사고와 같이 실제 사례를 반영한 시나리오를 가지고 원격의료에 대한 위험분석을 수행, 위험정도 및 피해규모를 산정했다.

위험분석모델 중 FAIR(Factor Analysis of Information Risk) 방법론을 이용, 정성적·정량적 피해규모를 산정해 위험분석을 한 결과, 약 2000억 원에서 2700억 원 정도의 피해가 일어날 것으로 분석됐다.

연구팀은 "원격의료 서비스는 비 암호화 통신, 접근통제 미비, 보안 프로그램 미비 등으로 인해 기술적 안전성 조치가 전무한 상태"라며 "현재 상태의 서비스 수준으로 운영될 경우 약학정보원 의료정보 유출사례와 같은 보안 사고 발생이 자명하다"고 밝혔다.

따라서 보건복지부 등 정부와 관련기관은 서비스 품질 향상과 병행해 보안성 증대에 예산과 정책 자원을 투입하여 사전 대비해야 한다는게 연구팀 입장이다.

이와 함께 연구팀은 국내·외 원격의료 관련 모든 기준을 수용하고 국내·외 법령 및 표준과 국외 선진보안관리체계를 일원화 할 수 있는 원격의료체계 평가기준을 개발했다.

원격의료를 포함한 의료분야 전체를 평가할 수 있도록 평가기준을 의료분야 13개 대분류와 원격의료분야 3개의 대분류로 구분, 총 195개의 평가항목으로 나눴다.

이번에 개발한 평가기준을 토대로 현장 확인 내용을 적용해 원격의료 안전성 수준을 확인한 결과, 현장 확인 내용을 바탕으로 개발한 195개의 평가항목 중 44개 항목만 적용이 가능했다.

조직, 운영, 자산, 정책 등과 관련된 평가항목은 보건복지부의 비협조로 인해 확인할 수 없었다.

원격의료서비스에 이용되고 있는 의료기기(블루투스 혈압측정계)에 대한 모의 해킹도 수행했다.

의료기기-관리어플리케이션-서버구간에 대한 패킷 분석과 기기 내에 저장된 데이터 분석을 통하여 취약점 분석을 실시한 결과, 어플리케이션 로그인 시 아이디, 비밀번호를 포함한 개인정보가 평문으로 전송되어 탈취 가능했다.

혈압 측정결과 입력 및 확인 시 혈압, 맥박 등의 의료정보가 평문으로 전송되어 탈취 가능했으며, 파라미터 변조를 통한 타인의 혈압 측정결과 확인 및 변조 또한 가능한 것으로 나타났다.