환자 권리보장 및 피해 예방 차원에서 보안 강화는 필수
▲ 분당서울대학교병원 여기호 의료정보팀 보안담당
"몸이 불편해 병원을 방문하는 환자들도 당당히 진료 서비스를 요구하고 개인의 정보보호를 주장할 권리가 있습니다. 최근 환자들의 입원사실 비공개 요청이 많아졌고, 병원에서 제공하는 정보보호 사항들을 꼼꼼히 살펴보는 등 과거보다 개인정보보호에 보다 적극적인 태도를 보이고 있습니다."
병원의 보안 강화가 필요한 이유에 대해 분당서울대학교병원 여기호 의료정보팀 시스템 및 보안담당은 이같이 말했다. 그는 "환자의 정보가 유출되면 비난은 병원이 받을지 모르지만, 그로 인한 피해는 고스란히 환자들에게 돌아간다"며 환자의 권리를 보장하고 피해를 예방하는 차원에서 '병원들의 보안 의식과 사회적인 책임'은 반드시 필수적이라고 강조했다.
분당서울대병원은 국내 최초로 Full-EMR(전자의무기록) 시스템을 구축한 디지털 병원으로, 다른 병원들보다 먼저 EMR 시스템을 안정화했고 EMR에 축적된 의료정보를 활용해 진료, 연구, 교육 분야에 빠른 발전을 해나가다 보니 보안 투자에도 타 병원들 보다 앞서 있다는 평가를 받고 있다.
100% 보안은 불가능… 지속적인 점검과 교육만이 '답'
2003년 개원 당시부터 내부 보안지침을 마련하고 기본적인 방화벽, IDS, 백신 등을 보유했으며 2005년에 통합자산관리솔루션, 웜방지솔루션, 스팸방지솔루션 등을 도입했다. 2007년에는 웹방화벽을, 2008년에는 통합보안솔루션(UTM)을 도입해 IPS, 바이러스월, VPN, 서버보안을 설치했으며 지난해는 통합PC보안솔루션과 DRM도 구축했다. DB보안과 NAC(네트워크접근통제), 무선보안도 강화할 예정이다.
뿐만 아니라, 2006년부터 입원사실 비공개 기능을 제공해오고 있으며 지난해 상반기부터는 외래 환자들에게 진료정보 제공에 대한 동의서를 받고 있다. 원무팀 인력을 늘려가면서까지 보안 강화에 남다른 신경을 기울이고 있는 것이다. 병원의 보안 투자에 대한 열정은 경영진의 관심과 지원, 직원들의 보안의식에서 비롯된 것이라고 여기호 보안담당은 전했다.
올해는 보안 관련 사업으로 DR센터 구축과 G-ISMS(전자정부 정보보호관리체계)인증 획득을 추진할 계획이다. 또한 관리적인 보안 강화를 위해 내부 직원들은 물론 경영진, 협력업체 직원들에게도 예외 없이 보안 교육을 강화해 나갈 방침이다.
분당서울대학교병원 여기호 의료정보팀 시스템 및 보안담당은 "경영진이 보안을 항상 염려하고 있을 정도로 보안에 대한 의식과 관심이 높다. 이윤창출의 궁극적인 목적이 돈을 버는 것도 중요하지만, 사후 손실을 사전 예방해 비용을 절감하자는 차원에서 적극적인 보안 투자를 하고 있다"고 말했다.
또한 그는 "보안 강화를 위해서는 우선적으로 법률 준수가 선행되어야 한다. 즉, 법률대로 잘 하고 있는지, 소홀한 부분은 없는지를 철저하게 지속 점검해야 한다. 보안에 있어 100% 완벽은 불가능하므로 보안이슈에 대한 빠른 대처와 체계적인 관리를 통해 보안을 강화해 가는 것이 무엇보다 중요하다"고 덧붙였다.
김정은 기자
jekim92@itdaily.kr