톱 5 제외하고 투자 미흡, 타 산업에 5년 뒤져, 개인정보보호법 시행으로 보안 수요 봇물 예상
- 1부. 의료정보보안 실태 점검
- 2부. 개인정보보호 이슈 및 법 대응 방안
- 3부. 병원 IT 담당자 인터뷰(가톨릭중앙의료원, 분당서울대병원, 서울아산병원, 이대목동병원)
[1부. 의료정보보안 실태 점검]
병원에 있는 '내 건강정보가 위험하다'
평균 보안점수 50점, 보안 담당자 없는 대형병원도 많아
일부 대형 병원을 제외한 대다수 국내 병원들의 보안 수준에 문제가 있는 것으로 드러났다. 복지부 산하 의료기관들의 평균 보안점수는 50점에 불과하며, 중소형 민간 병원들의 경우 이보다 낮은 곳도 많아 보안에 대한 국내 병원들의 인식이 심각한 것으로 나타났다.
환자 진료 위주의 투자를 해온 국내 병원들은 의료시설은 최첨단이지만 환자 건강정보에 대한 기술적/ 관리적 보안 조치에는 소홀했다는 것이다.
병원들이 이처럼 보안에 대한 인식이 낮은 것은 그 동안 병원업계에 대형 보안사고가 발생하지 않았기 때문. 여기에 IT 및 보안 예산 부족, 보안을 단속·규제할 법적/제도적 장치 부재 등은 그동안 병원들이 보안에 등한시하게 만든 주요 원인으로 꼽힌다. 업계 관계자들은 그러나 사회적으로 이슈화될 큰 보안 사고는 없었지만, 지금도 알게 모르게 보안 사고가 발생하고 있다고 지적한다. 사고가 나도 그때 뿐, 임시방편으로 해결하는데 급급하며 보안에 대한 근본적인 해결책을 모색하려는 움직임이 없다는 것.
보안컨설팅 전문업체의 한 관계자는 "큰 대형병원들 조차도 보안 전담자가 없고 보안 조직이 갖춰져 있지 않다. 시스템 운영자가 보안 업무를 겸임하고 있다 보니 바빠서 보안 정책과 지침을 제대로 수립하기도 힘들 뿐더러 교육, 보안 점검 등 관리적인 부분에 있어 여러모로 취약할 수밖에 없다"고 지적했다.
진료 환경 변화로 '보안은 필수'
과거 병원들은 보안과 관련해 종이로 된 의무기록과 그것을 보관하는 창고에 대한 접근관리만 하면 됐다. 그러나 2005년 이후로 EMR(전자의무기록)를 비롯해 웹기반 의료정보시스템들이 속속 도입되면서 상황이 크게 변했다. 네트워크 권한만 받으면 누구나 병원 내부 시스템에 침입이 가능해 보안에 대한 개념이 달라진 것이다. 병원 입장에서는 모든 PC, 모든 시스템에 산재해 있는 광범위한 환자 진료정보보호가 필요해졌다. 특히 폐쇄 망으로 운영되면 보안 사고에 대한 우려는 덜하겠지만 최근 원격 진료와 외부에서의 내부 업무(진료 정보)를 봐야하는 업무환경의 변화로 시스템이 개방될 수밖에 없어 보호 및 인증 장치의 강화는 이제 병원들이 의료서비스를 제공하기 위한 필수불가결 요소가 됐다.
분당서울대병원 여기호 보안담당은 "과거에는 사람에 의해 사회공학적인 기법을 이용한 자료 유출 사고가 발생할 소지는 있었지만, 대량의 정보유출 사고에 대한 우려는 없었다. 그러나 지금은 전산 홀을 통해 외부에서 내부로 쉽게 접근해 대량의 정보를 유출할 가능성이 커졌다. 따라서 대형 보안 사고를 막기 위해 보안을 철저히 할 수밖에 없다"며 보안의 중요성을 강조했다.
또한 가톨릭중앙의료원 정보전략팀 백락준 보안담당은 "정확한 진료를 위해서는 환자의 가족력을 비롯해 각종 정보가 필요하다. 다른 업종의 회사들은 보호해야 할 정보와 채널이 정해져 있지만 병원의 경우 다루는 데이터 양 자체가 방대하고 정보의 대부분이 사람과 관련된 것이다 보니 보안에 어려운 부분이 많은 게 사실"이라며 "오픈된 환경과 시스템의 디지털화로 자칫 PC관리만 소홀해도 정보를 유출할 수 있어 지속적인 관리 및 조치가 요구된다"고 말했다.
<이하 상세 내용은 컴퓨터월드 2월 호 참조>
김정은 기자
jekim92@itdaily.kr