유럽연합 집행위원회는 새로운 집행위원회의 초기 주요 우선순위 중 하나로 의료 분야의 사이버 보안 강화를 위한 실행 계획을 발표했다.

의료 부문에서는 지난 몇 년 동안 사이버 공격의 압박이 거셌다. 2023년 유럽연합 회원국은 총 309건의 사이버 보안 사고를 보고했다. 의료 기관에 대한 사이버 위협 목록에서 1위를 차지한 것은 랜섬웨어였는데, 사이버 범죄자가 의료 운영이 중요하고 의료 데이터가 매우 민감함을 인식하고 있기 때문이었다.

병원 및 의료 서비스 제공업체를 위한 EU의 실행 계획은 모든 EU 사이버 보안 조치를 사용하는 최초의 부문별 계획이다.

신임 EU 기술 보안 및 민주주의 담당 집행위원 헤나 비르쿠넨은 현대 의료는 디지털 혁신을 통해 놀라운 발전을 이뤘으며, 그 결과 시민이 더 나은 의료 서비스를 받을 수 있게 되었다고 말했다.

그러나 “안타깝게도 의료 시스템도 사이버 보안 사고와 위협에 노출되어 있다. 그렇기 때문에 우리는 의료 시스템, 기관 및 연결된 의료 기기의 회복력을 보장하기 위한 실행 계획을 시작한다.”라고 말했다. 비르쿠넨은 예방이 치료보다 낫기 때문에 사이버 공격이 발생하지 않도록 예방해야 하며, 사이버 공격 발생을 탐지하고 신속하게 대응하고 복구할 수 있는 모든 것에 대비해야 한다고 말했다.

제안 중 하나는 EU 사이버 보안 기관 ENISA가 병원과 의료 서비스 업체가 지침, 도구, 서비스, 교육을 받을 수 있는 지원 센터를 설립하는 것이다.

이 계획은 네 가지 기본 우선순위로 구성되어 있다.

첫째, 중요한 사이버 보안 관행을 구현하는 방법에 대한 지침을 제공하는 등 예방 업무를 개선하는 것이다. 회원국은 사이버 보안 바우처를 도입해 중소 병원과 의료 서비스 제공자를 재정적으로 지원하고 의료진을 사이버 보안에 대해 교육해야 한다.

더 신속한 대응을 위해 사이버 위협 가능성을 거의 실시간으로 경고하는 서비스를 2026년까지 구축할 것을 제안한다.

셋째, 신뢰할 수 있는 민간 서비스 제공업체의 사고 관리 서비스를 제공함으로써 공격에 대한 대응을 강화해 피해를 줄이는 것을 목표로 한다. 또한 회원국의 지불금 보고를 의무화할 것을 권장한다.

마지막 네 번째 영역은 위협 행위자에 대한 공세와 사이버 외교에 사용할 수 있는 도구를 사용해 위협 행위자를 억제하는 것으로, 이는 악의적인 사이버 활동에 대한 EU의 공동 외교적 대응을 의미한다.

현재 EU 국가, 의료 서비스 제공업체, 사이버 보안 업계 간의 새로운 행동 계획에 대한 공개 협의가 진행 중이며, 연말까지 추가 권고안이 발표될 것으로 예상된다. 구체적인 조치는 2025년과 2026년에 도입될 것으로 예상된다.
dl-itworldkorea@foundryco.com