AI 기술이 병원 시스템에 깊이 자리 잡으면서 진료의 정확성과 효율성은 크게 향상되었습니다. 하지만 그에 비례해 병원 시스템이 사이버 공격의 주요 표적이 되고 있는 현실도 함께 주목받고 있습니다. 특히 AI는 환자의 민감한 의료정보를 대규모로 활용하고, 자동화된 분석과 진단 기능을 수행하는 만큼, 그 보안이 무너지면 단순 유출에 그치지 않고 진료 마비, 오진, 생명 위협 등으로 이어질 수 있습니다. 따라서 AI 기반 병원 시스템의 보안 위협을 이해하고 실제 해킹 사례를 통해 취약점을 짚어보며, 현재 우리가 준비해야 할 제도적, 기술적 대응 방안에 대해 깊이 있게 고찰할 필요가 있습니다.
AI 시스템이 병원에 도입되면서 발생할 수 있는 보안 위협은 크게 세 가지로 나뉩니다. 첫째, 의료 데이터의 탈취 위험입니다. AI는 전자의무기록, 유전체 정보, 의료 영상 등 방대한 데이터를 실시간으로 처리하기 때문에 중간자 공격(MITM)을 통해 이 데이터들이 유출될 가능성이 큽니다. 실제로 이러한 정보는 다크웹에서 고가에 거래되고 있으며, 해커들의 주요 타깃이 되고 있습니다. 둘째, AI 알고리즘 자체에 대한 조작 위험도 존재합니다. 학습 데이터에 악성 노이즈를 삽입하거나 모델을 교란시켜 잘못된 진단을 유도하는 방식이 대표적이며, 이를 '적대적 공격(adversarial attack)'이라 합니다. 셋째, 랜섬웨어 공격에 대한 위협도 증가하고 있습니다. 병원의 AI 진단 서버나 의료영상저장시스템(PACS)이 감염되어 시스템이 마비되고, 해커가 이를 인질 삼아 금전을 요구하는 사례가 실제로 발생하고 있습니다. 예를 들어 2021년 아일랜드 공공보건시스템 전체가 랜섬웨어에 감염되며, 국가 차원의 진료가 마비되는 사태가 벌어지기도 했습니다.
실제 사례를 살펴보면 그 심각성을 알 수 있습니다. 한국에서는 2022년 서울의 한 대형병원에서 내부 직원 계정이 해킹당해 AI 진료보조 시스템을 통해 수천 건의 환자 정보가 유출된 사건이 있었습니다. 이 사건은 의료정보보호법 위반으로 과징금이 부과되었고, AI 시스템 로그 관리의 부재가 주요 원인으로 지적되었습니다. 미국에서는 2023년 유나이티드헬스그룹(Optum)이 해킹당해 1억 명 이상의 환자 기록이 유출되었는데, 이 중에는 AI가 생성한 의료 리포트와 알고리즘 일부도 포함되어 있었습니다. 프랑스에서는 병원의 영상 저장 시스템이 공격받아 AI 영상판독 기능이 중단되고, 이로 인해 진료 지연 및 누락 등 2차 피해가 발생한 사례도 보고되었습니다. 이는 AI 시스템에 대한 의존도가 높을수록, 단순한 시스템 공격이 아니라 병원 전체의 기능이 무력화될 수 있다는 사실이 점차 현실화되고 있음을 시사합니다.
AI 시스템 보안은 단순한 기술적 문제를 넘어, 병원의 관리 체계 전반과 연결됩니다. 미국의 NIST는 AI-RMF라는 위험관리 프레임워크를 통해 AI 시스템의 보안 위협을 사전 진단하고, 운영 과정에서 위험을 줄이는 방법론을 제시합니다. 유럽 ENISA는 의료 분야를 포함한 고위험 AI 시스템에 대해, 윤리·보안·투명성·책임성이 모두 통합된 가이드라인을 운용하고 있습니다. 반면 한국은 정보보호관리체계(ISMS-P)를 기준으로 하고 있지만, 의료 AI에 특화된 보안 매뉴얼이나 감사 시스템은 부족한 상황입니다. 병원 전산부서의 인력 역시 사이버보안 전문가보다는 전산유지보수에 집중된 인력이 다수이기 때문에, AI 보안 체계를 스스로 운영하고 점검할 수 있는 조직 역량 또한 부족한 경우가 많습니다.
더불어 AI 시스템 내에서 발생할 수 있는 보안 취약점은 다양합니다. 대표적으로는 학습 데이터 오염, 백도어 삽입, 모델 탈취(model inversion) 등이 있으며, 이는 단순한 정보 유출을 넘어 AI 진단의 신뢰성 자체를 훼손할 수 있습니다. 병원은 AI 모델이 어떤 데이터로 학습되었는지, 누구에 의해 유지·관리되는지, 어떤 형식으로 변경이 기록되고 있는지를 추적할 수 있는 모니터링 체계를 갖춰야 합니다. 또한, AI 모델에 대한 외부 감사와 리스크 평가를 정기적으로 수행하여, 이상 징후를 조기에 식별할 수 있어야 합니다.
보안은 시스템과 기술뿐 아니라 환자와 사용자를 위한 교육에서도 시작됩니다. 환자 입장에서는 본인의 의료정보가 AI에 의해 분석되고 있다는 사실조차 알지 못하는 경우가 대부분입니다. 따라서 AI 시스템 도입 병원은 진료과정에서 환자에게 해당 시스템의 사용 여부, 정보의 활용 범위, 만약 해킹이 발생했을 때 환자에게 미치는 영향 등을 설명하고, 필요시 거부할 수 있는 선택권도 보장해야 합니다. 이는 단순한 정보 제공을 넘어, 데이터 활용의 투명성과 책임성을 실현하는 핵심 요소입니다.
제도적 차원에서 우리는 다음과 같은 준비가 필요합니다. 첫째, 의료기기 승인 절차에 AI 시스템의 보안 항목을 정식으로 포함시켜야 합니다. 둘째, 보건복지부나 식약처 차원의 의료 AI 보안 점검단이 구성되어야 하며, 주기적인 점검과 인증 제도를 통해 병원별 AI 시스템의 보안 수준을 평가하고 공개해야 합니다. 셋째, 병원 내 사이버 공격 대응 시나리오에 AI 시스템이 반드시 포함되어야 하며, 그에 따른 훈련도 정기적으로 실시되어야 합니다. 마지막으로, 병원 전산인력과 의료진을 대상으로 한 보안 교육도 의무화되어야 하며, AI 보안 분야의 전문 인력을 육성하고 병원별로 전담 인력을 배치하는 것도 중요합니다.
결론적으로, AI 기반 병원 시스템의 보안은 단순한 기술 문제가 아니라 의료의 신뢰성과 환자의 생명권을 좌우하는 핵심 요소입니다. 아무리 정교한 진단 알고리즘이라도 보안이 무너지는 순간, 그 기술은 오히려 환자에게 해가 될 수 있습니다. AI가 병원의 중심 기술로 자리잡는 지금, 그 심장을 지키는 것은 강력한 보안 체계이며, 이 면역체계를 탄탄히 구축하는 것이 의료 AI 시대의 필수 조건입니다. 기술 개발자, 병원, 정부 모두가 보안의 중요성을 인식하고 협력해 나갈 때, 우리는 비로소 AI가 가져올 의료 혁신의 진정한 혜택을 안전하게 누릴 수 있을 것입니다.