미국 미시시피 대학병원, 랜섬웨어로 36곳 클리닉 일시 폐쇄…의료 IT ‘다운타임’이 현실이 됐다

미국 미시시피대학교 의료센터(University of Mississippi Medical Center, UMMC)가 랜섬웨어 공격을 받으면서 주 전역의 클리닉 운영을 멈추고 일부 시술 일정을 취소했다. 현지 보도에 따르면 공격은 2026년 2월 19일(목) 새벽 무렵 감지됐고, 2월 20일(금) 기준으로 약 36개 클리닉이 문을 닫은 상태에서 선택적(비응급) 시술 취소가 이틀째 이어졌다.

UMMC는 전자의무기록(EHR) 등 핵심 IT 시스템 접근이 제한되자, 접수·기록·처방 확인 등 일부 업무를 종이 기록과 수기 절차로 전환했다고 밝혔다. 병원과 응급실은 운영을 지속했지만, 외래 중심 진료 흐름이 끊기면서 환자 일정이 직접 영향을 받았다. AP 보도에서는 항암치료를 위해 장거리 이동한 환자가 현장에서 혈액검사와 치료를 받지 못하는 사례가 소개되기도 했다. 일정·접수·검사·처치가 한 시스템 흐름으로 연결된 의료 프로세스가, IT 장애로 한 번에 멈출 수 있음을 보여준 장면이다.

피해 범위는 조사 중이다. UMMC 측은 민감한 환자정보가 유출됐는지 여부를 포함해 침해 범위를 확인하고 있다고 설명했다. 또한 AP에 따르면 UMMC의 LouAnn Woodward 부총장은 2월 19일 기자회견에서 공격자 측이 병원(대학)과 ‘연락을 해왔다’고 밝혔지만, 구체적인 요구 사항은 공개하지 않았다. 연방수사국(FBI)도 대응에 참여하는 것으로 전해졌다.

이번 사안은 ‘의료 서비스가 IT에 얼마나 깊게 의존하는지’를 드러낸 사례로 평가된다. 특히 외래 네트워크가 큰 조직일수록 EHR(예: Epic), 예약·검사·처방·보험청구 시스템이 촘촘히 묶여 있어 단일 장애가 곧바로 진료 중단과 운영·재무·평판 리스크로 이어질 수 있다.

보스턴·케임브리지 권역의 의료기관과 관련 종사자(의료 IT, 보안, 데이터, 운영)에게도 시사점이 있다. 대형 병원·의료 네트워크는 시스템 표준화 수준이 높고, 사이트(캠퍼스·클리닉) 간 연동 범위가 넓은 편이다. 한 지점의 장애가 콜센터·예약·검사실·약국·보험청구까지 연쇄 영향을 줄 수 있어, 기술조직만의 이슈로 분리하기 어렵다.

현장에서 반복되는 ‘다운타임’ 패턴은 대체로 비슷하다. (1) “EHR이 멈추면 종이로 버티면 된다”는 가정이 흔하지만, 실제로는 처방·투약 안전 확인(알레르기/금기), 검사 결과 조회·전달, 환자 동선·대기 관리가 동시에 막히면서 병목이 커진다. (2) 다운타임 매뉴얼은 존재해도 야간·주말 또는 다중 외래 사이트에서 ‘누가 무엇을 어떤 순서로 기록·전달하는지’가 흐려져 혼선이 길어지기 쉽다. (3) 복구 과정에서는 ‘빨리 켜기’ 요구와 ‘감염 확산 차단·증거 보존’ 우선순위가 충돌할 수 있어, 현장 기대치 조율이 중요해진다.

참고 차원에서, 의료 IT 현장에서 자주 쓰는 단계별 점검 항목은 다음과 같이 정리된다(기관 정책·규정에 따라 적용 범위는 달라질 수 있음). 24시간 내에는 다운타임 체크리스트가 실제 배포 가능한 형태(인쇄본/오프라인 접근 포함)인지 확인하고, 최소 필수 프로세스(환자 등록·식별, 처방·투약 안전, 검사 결과 전달)부터 우선순위를 맞추는 방식이 흔하다. 1~2주 내에는 ‘외래 1곳이 멈춘 상황’을 가정해 짧은 모의훈련을 통해 접수→검사→처방의 최소 흐름을 실제로 돌려보며 병목을 찾는다. 30일 내에는 네트워크 분리·권한 최소화(공유 드라이브·원격접속 포함)와 백업 복구 리허설을 통해 “백업이 있다”와 “복구가 된다”의 간극을 줄이는 접근이 자주 거론된다.

UMMC 사안은 랜섬웨어가 단순한 IT 장애를 넘어 운영·환자 안전·대응 커뮤니케이션까지 함께 흔들 수 있음을 보여준다. 의료·바이오 비중이 큰 보스턴 지역에서는, 보안 사고 대응 역량이 곧 현장 운영 역량과 직결된다는 점을 다시 확인할 필요가 있다.