예산 확보 가장 걸림돌, 도입비용 및 추후 관리 부담 커
보안정책 및 전담 인력 마련 시급, 정부 역할도 절실
최근 2~3년 동안 병원들의 정보화 투자가 활발히 이뤄지면서 병원의 진료 및 업무 환경이 크게 변화하고 있다. OCS(Order Commu- nication System, 처방전달시스템), PACS(Pic- ture Archiving and Communications System, 의료영상저장전송시스템), EMR(Electronic Medical Record System, 전자의무기록)뿐만 아니라 ERP, DW, CRM 등 진료와 처방, 병원 행정 및 경영 분야에 각종 정보시스템이 도입되면서 IT가 병원 내에서 점차 핵심으로 자리잡고 있기 때문이다.
원무 중심의 전산화에서 진료 분야로 확장되어온 병원의 IT는 이제 경영의 관점이 접목되어 병원 경쟁력의 잣대로 그 위상을 높이고 있다.
'보안 불모지' 병원, 보안체계 강화 나섰다
하지만 병원의 업무와 진료가 IT시스템에 의존하는 비중이 높아짐에 따라 IT로 인한 병원의 생산성 향상과 경쟁력 확보에 점점 효과를 발휘하고 측면이 커지고 있는 반면, 정보보안 위협과 사이버 공격에 의한 파급력 확산에 따른 크고 작은 위험도는 더욱 커지고 있다. 또 과거 많은 업무가 전산화 되었더라도 폐쇄적 환경으로 외부와 직업적으로 연결되는 통로가 적었던 것에 비해 인터넷 사용, 웹 환경 전환 및 웹 서비스 확대, 병원 간 진료정보 공유 등 협진체계 구축·확대 등으로 병원 환경이 개방되고 있어 그 위협에의 노출 범위가 확대되고 있는 것이다.
즉, 병원 환경은 웜이나 바이러스와 같은 사이버 공격이 언제든지 병원 내부 네트웍에 침투해 귀중한 생명을 다루는 환자 진료와 치료, 서비스 업무에 차질을 줄 수 있으며, 해킹으로 디지털화된 정보를 빼내거나 위·변조 시켜 환자의 프라이버시가 침해될 수 있는 위험 요소가 크게 증가되고 있는 것이다.
지금까지 병원들은 경쟁은 더욱 치열해지고 수익성은 악화되는 환경 아래 진료 및 의료 서비스 품질뿐 아니라 시설 및 고객서비스 수준을 향상시켜 경쟁력을 확보하기 위해 어렵사리 정보시스템을 확장해 왔지만, 당장 급하게 보이지 않은 '보안'은 여느 업종과 마찬가지로 그동안 항상 후순위 투자로 밀려왔다. 그런데 'IT의 변방', '보안 불모지'로 여겨졌던 병원이 최근 다행히도 보안 분야를 정보화 계획에서 주요하게 다루고 있는 움직임을 보이고 있다. 서울·경기 지역의 500병상 이상의 종합병원들은 대부분 지난해부터 보안을 적극적으로 검토해왔으며 예산을 확보해 기존 보안체계 강화에 나서고 있다.
IT담당자의 최대 골칫거리 '바이러스'와 '웜'
병원들이 최근 보안 투자에 적극적으로 나서고 있는 이유는 웜이나 바이러스와 같은 사이버 공격이 병원 업무에 직접적인 영향을 미치기 때문이다. 이는 그만큼 현재의 병원 환경은 정보시스템과 밀접한 환경으로 바뀌었다는 것을 보여주는 대목이다.
지난해 5월 사세르(Sasser) 웜이 기승을 부리면서 국내 최대 규모 종합병원의 전산망이 마비되어 환자 진료와 병원 업무에 큰 차질을 빚었다는 사실이 언론에 알려지면서 사람들의 입에 크게 오르내린 적이 있었다.
이 병원뿐만 아니라 PC와 인터넷을 사용하는 크고 작은 병원들도 드러내놓고 말은 못해도 당시 바이러스와 웜과 같은 악성코드에 시스템이 감염되어 시스템이 다운되거나 네트웍에 영향을 미친 비슷비슷한 경험을 갖고 있다.
정보시스템에 의존하는 병원 업무 비중이 크게 늘어나는 등 병원의 IT환경이 크게 발전하는 것과 함께 최근 바이러스 등 사이버 공격 형태가 더욱 지능화, 악성화 되고 그 전파도 순식간에 이뤄지면서 네트웍과 시스템 담당자들은 이에 의한 사고에 민감하게 반응하고 있는 상황이다. 이러한 일이 발생했을 때에 업무 및 진료 차질로 인한 불편뿐 아니라 서비스 산업인 병원에 직접적인 경제적 피해와 신뢰도 및 이미지를 추락시키는 결과를 가져오는 것은 불을 보듯 뻔하기 때문이다.
우선 네트웍 안정화 목표로 보안체계 마련
따라서 최근 병원들은 우선적인 보안 투자로 네트웍 및 클라이언트 시스템 안정화를 위한 문단속에 활발히 나서고 있다. 기본적으로 2000년대 초반부터 안티바이러스와 방화벽을 사용해온 대부분의 병원들은 공격 유형과 IT환경 변화에 따른 보안 강화책을 마련하고 있는 것이다.
지난해와 올해에 걸쳐 많은 병원들은 기존에 사용하던 안티바이러스를 통합 PC보안 솔루션으로 업그레이드 하거나 타 솔루션으로 바꾸는 것과 함께, 이를 보강하기 위한 작업에 한창이다. 클라이언트 단에서는 PC방화벽과 PMS(패치관리시스템) 또는 패치관리와 보안 소프트웨어 배포, IP관리 기능 등을 포함한 통합 PC 및 자원 관리 솔루션을 가장 많이 도입하고 있다.
그 이유로 담당자들은 "직원들이 병원 외부에서 사용하던 노트북을 병원 내부에 연결해 사용하면서 바이러스를 유포시키는 일이 잦다. 따라서 보안 패치나 안티바이러스 소프트웨어가 깔린 컴퓨터만 접속을 허용하거나 자동 배포나 강제 설치시키는 PC단 보안관리 솔루션은 필수"라고 설명한다.
또한 네트웍 단에서는 외부에서 들어오는 침입을 걸러내어 주는 방화벽과 이를 보완, 능동 대처하는 IPS(침입방지시스템), 바이러스월, 통합보안 장비 등 네트웍 보안 제품을 많이 검토하고 있다. 그만큼 유해 트래픽으로 인한 유입이 심각하기 때문이다.
<컴퓨터월드>의 이번 조사 대상 병원 중 대부분이 지난해와 올해에 걸쳐 두 분야의 보안 계획을 세우고 있다.(표 참조)
2단계는 중요 서버 및 DB 보호 등 내부 보안체계 구축
최근 보안에 대한 관심이 늘어나는 또 다른 이유로는 "병원의 고객인 환자정보 보호의 중요성"이 꼽힌다. 정보시스템이 늘어나면서 환자의 정보가 데이터화되면서 관리해야 하는 환자의 데이터양과 질이 늘어났기 때문에 정보보안의 중요성이 더욱 부각되고 있다는 것이다.
OCS와 PACS 시스템이 이미 안정화된 단계에 들어가고 EMR과 ERP와 비슷한 MIS(Medical Infomation System)가 확산, 타 정보시스템과 결합되면서 대부분의 정보가 종이나 필름이 아닌 디지털화된 데이터로 남겨지기 때문에 이와 같은 보안체계 마련은 더욱 중요해지고 있다는 얘기다.
현재 병원의 네트웍 보안이 안심할 수 있는 단계에 들어가거나 네트웍 보안을 수립중인 병원들은 중요 정보가 담겨진 서버나 DB 보안관리 정책 설정과 관련된 전문 솔루션을 도입하고, 이에 대한 인증 및 권한관리 체계를 강화하는 작업을 고민하고 있다.
현재 1차로 클라이언트와 네트웍단의 보안체계를 세운 병원들은 서버와 DB, 웹 등의 영역으로 시야를 확대하고 있다. 병원별로 차이는 있지만 이미 강북삼성병원, 분당서울대병원, 서울대병원, 서울보훈병원, 삼성서울병원, 한림대의료원, 한양대병원 등이 적용했거나 준비 중이다.
아직 갈 길은 멀다... 과제 산적
그럼에도 불구하고 환자정보를 보호하기 위한 체계는 아직 미진한 것이 사실이다. 몇몇 병원을 제외하고는 아직 네트웍과 PC 레벨의 보안 투자를 진행하고 있는 수준이기 때문이다. 각각의 정보시스템에 대한 강력한 사용자 인증과 접근제어 및 권한관리, 의료정보에 대한 전자서명 및 암호화, 감사 및 추적체계 등이 제대로 마련되어 있지 못하다. 현재까지 대부분의 병원들이 ID와 패스워드, 부서 및 직무별 메뉴 관리 등에 의존한 인증 및 권한관리 체계를 가져가고 있다.
보안 전문가들은 의료기관의 보안은 무엇보다 '환자정보'를 보호하는 것이 가장 중요시 되어야 한다고 입을 모은다.
에이쓰리시큐리티컨설팅 윤영 책임컨설턴트는 "현재 병원들이 보안과 관련해 가장 신경을 쓰는 분야는 PC와 네트웍이지 서버가 아니다. OCS나 EMR의 아이디와 패스워드가 도용되었을 때 정보유출이 가능하기 때문에 2, 3차 인증수단이 필요하며, 변조 없이 데이터를 안전하게 가져올 수 있는 신뢰성을 보장할 수 있는 장치가 필요하다."고 지적했다.
전자차트인 EMR을 병원 전체에 적용한 분당서울대병원과 서울대병원, 외래와 수술실 등으로 확장하고 있는 삼성서울병원 등만이 환자 정보유출 방지를 위한 사용자 인증체계와 전자서명 및 암호화, 감사 체계가 모두 마련되어 있다.
많은 병원들은 "이와 같은 체계는 EMR이 확산되면서 자연스럽게 보완책이 마련될 것"이라는 입장이다. 이는 현재 수준에서는 무리한 투자가 될 수도 있다는 얘기다. 또 병원 전반의 IT 인프라가 아직 초보 수준인데 강력한 보안만을 적용할 수 없다는 뜻으로도 풀이된다.
상계백병원 김용옥 의료정보실장은 "현재의 병원 시스템으로 (과도한) 보안 투자는 낭비다. 이는 강아지에 비단 옷을 입힌 것과 같은 것."이라며, "오히려 웹 환경 전환 등 원격진료를 이루기 위한 기반이 되는 IT투자부터 먼저 해야 한다. 이것이 이뤄지면 보안은 자연스럽게 강화될 것."이라고 말해 이 같은 시각을 뒷받침하고 있다.
서울아산병원 이용수 의료정보팀 과장도 "현재 병원의 인프라가 약한데 무리한 보안 투자는 하기 어렵다. 만약 보안과 관련된 무리한 의무를 병원에 지웠을 때 과연 병원들이 그에 맞는 투자를 할 수 있겠는가?"하고 반문했으며, 삼성서울병원 김동수 정보지원팀장도 "병원들의 수익성이 악화되는 어려운 환경에서 투자에 소극적일 수밖에 없을 것."이라고 말했다.
강북삼성병원 정보지원팀 도윤한 책임도 "많은 솔루션을 도입해 완벽하게 방비를 해놨다고 해도 작은 허점 하나만 갖고도 쉽게 뚫릴 수 있다. 때문에 현재 IT환경과 규모에서 보안 수준과 정책을 정해 단계별로 진행하는 것이 맞다고 본다."고 제시했다.
비용과 관리인력 증가가 가장 큰 문제
'보험'의 성격을 갖는 보안은 다른 IT시스템과 다르게 그 투자 가치와 효용성을 검증하기가 어렵다. 오히려 무리하게 적용했다 불편함을 이유로 사용하지 않거나 편의성을 높이는 일종의 편법 시스템을 개발해 그 보안성을 스스로 낮추는 일이 발생하기도 한다.
이것저것 다단계 보안 시스템을 설치했어도 '100% 완벽 보안'을 자신할 수 없는 것도 보안 투자에 있어 나타나는 어려움이다. 또 다양한 보안 시스템을 설치하면 그에 따른 관리 포인트와 비용이 증가하는 것도 문제다.
때문에 보안 사고가 터지면 IT담당자들에게 책임이 돌아가지만 가뜩이나 적은 예산에다 보안에 큰 비중을 할당할 수 없어 병원들의 보안 예산 확보는 매우 어렵다.
오재우 명지병원 전산정보팀장은 "보안솔루션 도입은 자칫 과대 투자나 중복 투자의 소지가 많다. 100% 완벽한 보안이 보장되는 것이 아니기 때문이다. 투자에 대한 효용가치를 검증하는 것이 무척 어렵다."고 토로했다.
다른 병원 담당자들도 마찬가지다. 현재 통합보안시스템 구축 등 보안 프로젝트를 진행하고 있는 일산병원 의료정보팀 정성직 팀장은 "보안은 경계가 애매해 자칫 중복 투자할 우려가 있다. 이번 시스템 도입을 검토하고 결정하는 데에도 1년의 시간이 걸렸다."며, "병원의 전반적인 TCO를 줄여야 하는데 보안솔루션을 도입하면 관리 인력이 또 필요하다. 이 때문에 일산병원은 통합보안시스템을 도입한 것이다."고 말했다.
고대안암병원 서창길 정보전산실 정보기획팀장은 "그러한 이유가 경영층을 설득하기에 가장 어려운 점"이라고 설명했다. 다행히 고대병원은 CIO의 보안투자 의지가 강한 것으로 알려졌다. 이렇듯 대부분의 병원의 IT(보안 포함) 투자는 병원장과 CIO의 보안 인식과 의지가 크게 작용한다.
하지만 일각에서는 보안에 관한 적극적인 시각을 보이고 있다. 일단 보안의 중요성과 필요성에는 모두 공감하고 있고, 경영자와 의사, 간호사 등 현업에 있는 사람들도 과거에 비해 괄목할만한 인식 확대가 이뤄졌다는 것이다.
한림대의료원 정보전략실 김용상 팀장은 "IT기술과 공격 유형은 계속 진화하기 때문에 필요한 시점에 보안을 하지 않는다면 나중에 도입하게 되더라도 무용지물일 것."이라며, "당한 다음에 하는 방비책은 또 다른 허점을 남길 수 있다."는 것을 강조했다.
보안 투자를 결정하기까지 어려웠어도 일단 하기로 정했으면 적정 비용을 투자해 제대로 하는 것이 중요하다는 지적도 있다.
순천향중앙의료원 전산실 윤수근 부장은 "이왕 투자하기로 결정했으면 과감하게 하는 면이 낫다. 안하면 안되기 때문에 적은 비용을 들여 울며 겨자먹기식으로 하다 보니 짧은 기간에 OCS를 3~4번 바꾼 곳도 있는 것처럼, IT든 보안이든 할 때 안정적으로 하는 것이 중요하다."고 설명한다. 이렇게 하는 것이 오히려 장기적으로는 비용을 절감하고 효용성을 높이는 방안이며, 어떻게든 값싸게 해 구색만 맞추는 차원이면 낭비하는 것과 다름없다는 뜻이다 .
보안솔루션 선정 기준과 관리체계 수립 어려워
담당자들이 보안 투자에서 안고 있는 어려운 점으로는 보안체계 및 전략 수립과 솔루션 선정 기준을 잡기 힘들다는 점도 들 수 있다. 병원에 보안 전문가가 부족하고 병원 밖에도 병원 환경을 제대로 이해해 가이드를 제시할만한 곳이 많지 않은 것이 현실이다.
현재 강북삼성병원, 고려대병원, 관동의대 명지병원, 분당서울대병원 등이 현재 보안체계와 규정을 만들고 있고 서울아산병원 등이 중장기 보안 마스터플랜을 수립하려는 계획을 갖고 있지만, 현재까지 병원에 가이드가 될 만한 이렇다 할 사례는 아직 없는 실정이다.
그동안 한 두 솔루션 중심의 보안 체계를 수립해왔던 반면, 전체적인 보안정책을 세워놓지는 못했던 것. 그렇다보니 실무자 입장에서는 우선순위에 따른 중장기 솔루션 도입 계획을 수립하는 것도 어렵고, 괜찮은 솔루션을 선정하는데도 어려움을 갖고 있다.
실제로 이번 취재 과정에서 보안 전문업체들에게 병원 환경에 맞는 보안 자문을 구했을 때 병원 환경을 제대로 이해하고 있거나 그에 맞는 보안을 체계적으로 제시할 수 있는 전문가들은 거의 없었다. 한 병원 담당자는 그 이유에 대해 "그동안 병원은 보안에 관심이 크지 않았고 투자해봤자 큰돈이 되지 않기 때문에 업체들이 별 관심을 기울이지 않은 것 같다."고 분석하기도 했다.
이러한 현상은 최근 대형 SI업체들이 대규모 프로젝트마다 기한 내 완료하지 못하거나 오류를 발생시켰던 이유로 꼽히는 문제점들 - 경험 부족과 전문 기술력 부재(병원 환경을 제대로 이해하지 못하고 있거나 그 환경에 맞는 전문기술 부재), 코디네이션 능력 부족, 비용이 맞지 않은 문제 등 -과 무관하지 않다.
때문에 사고나 문제가 발생했을 때 비로소 투자가 이뤄지며, 보안 전략 로드맵을 제대로 그리지는 못하고 있다는 것이 병원 정보 담당자들의 공통된 시각이다.
고대구로병원 정보전산실 최용태 팀장은 "오히려 보안업체들은 제품에 이것저것 기능만 많이 넣어 도입 시 혼란을 준다. 각각의 보안솔루션이 애매모호하게 느껴지지 않도록 전문적인 기능을 구현했으면 좋겠다."며 보안 솔루션의 문제를 지적한다.
이러한 여러 가지 어려움 때문에 대한병원정보협회는 보안 자문위원을 위촉해 병원 보안관리체계를 세울 수 있는 보안감사와 솔루션 BMT 표준을 만들 방침이며, 신시스템에 대한 파일럿 프로젝트를 진행해 회원병원과 공유할 방침이다.
이미 대정회는 최근 병원에서 관심이 높은 IPS를 두 개 병원에 설치, 파일럿 프로젝트를 진행해 지난 5월 제주도에서 열린 세미나에서 그 결과를 발표한 바 있다.
정부 보안 가이드라인 제시 등 역할 필요
공공의 성격을 띠는 기관인 병원에 대한 정부 차원의 보안 가이드라인 제시나 보안 기준, 특화된 법규 체계 마련이 필요하다. 보안업계는 주요 정보통신기반시설이나 안전진단에 병원도 반드시 포함되어야 한다고 주장하고 있다. 병원 정보담당자들도 정부의 역할이 필요하다는 데에 동의한다. 단, 무리한 의무적용이 아닌 국내 의료시장 경쟁력을 고려한 단계적인 접근이 바람직하다는 단서가 달려있다.
의료기관에 해당하는 관련 법규는 현재 정보통신망이용촉진및정보보호등에관한법률(제28조 시행규칙인 '개인정보의 기술적·관리적 보호조치 기준')과 헌법(개인의 사생활 보호 권리), 형법(의료기관 종사자의 개인 비밀정보 누설 관련 처벌), 의료법(의무기록 보호를 위한 전자서명 등 장치) 등이 마련되어 있다. 또 앞으로 개인정보보호법이 제정되면 관련 규정이 늘어날 예정이다.
최근 들어서는 EMR이 확산되는 현 시점에서 전자의무기록에 대한 특화된 법규의 필요성도 제기되고 있다. 미국에서는 전자의무기록 보안을 위해 이미 HIPPA(Health Insurance Portability and Accountability Act, 전자의료보험청구법) 법령을 시행하고 있다.
소프트포럼의 이지현 컨설팅팀장은 "병원의 보안 투자를 이끌어내기 위해서는 미국 HIPPA와 같은 법 발효나 보안컨설팅 안전진단 서비스 대상으로 묶여야할 것이다.
현재 병원의 보안 투자는 솔루션에 맞춰지고 있을 뿐 병원 고유의 영역에서 '무엇을 보호할 것인가' 하는 보호 대상이 불분명하다. 법규로 내려와야 체계적이고 단계적으로 진행할 수 있을 것이라 보인다. 이에 대한 시도가 필요하다."고 말했다.
삼성서울병원 김동수 팀장은 "정보보호를 위한 정부차원의 기준을 명확히 하고 전자의무기록에 대한 보안 법규 등 급변하는 IT환경에 맞는 법률 마련과 행정적 규제를 적기에 시행하는 것이 필요하다. 또 보험 수가 반영이나 보안 투자의 세금 감면 조치 등을 시행한다면 보다 적극적인 정보보호 투자가 이뤄질 수 있을 것"이라고 주장했다.
한양대병원 황인남 의료정보과장도 "PACS가 빠르게 확산된 것이 바로 수가에 반영됐기 때문"이라며, "건강보험심사평가원으로 보내지는 EDI 시스템의 보안 강화 등 정부부터 보안 의지를 보여줬으면 좋겠다."고 주문했다.
비슷한 의견으로, 한림대병원 김용상 팀장은 "현재 OCS 시스템보다 PACS 시스템이 더 안정적이고 견고하다. 정부에서 수가를 지원하고 장비 기준에 맞는 기능도 체크하기 때문이다."며, "병원이 정보보호를 위한 적극적인 투자가 진행되도록 정부 차원의 보조책이 절실하다."고 강조했다.
보안관리체계와 전담 인력 마련 시급
병원은 환자의 생명을 다루는 '공공성'을 지닌 기관이기 때문에 안전과 윤리/보안의식은 가장 기본이 되고 있다. 따라서 이에 따른 오프라인 절차 등 정책을 디지털화된 정보시스템에도 적용되어야 하는 것은 당연하다. 아이러니 하게도 병원의 보안의식의 문제점으로 그 속 안에 있기 때문에 긴장감이 없어져 '잘 모르고 정보를 유출하는' 일이 많이 발생하기도 한다고 지적되기도 한다.
제대로 된 보안을 위해서는 병원 자체의 내부 보안정책과 규정, 그에 따른 감시 및 감사 체계가 마련되어 있어야 하며, 이를 수행하는 전담 조직이나 인력이 필요하다. 현재 병원의 정보보안 책임자는 대부분 의료정보팀장이나 전산과장들에게 있고, 실무 담당자는 네트웍이나 시스템 담당자가 병행하고 있다.
향후 가까운 미래에 e-헬스케어를 넘어 U-헬스케어로 원격의료 시대로 접어들 것이 예상되는 지금 병원 간 정보공유와 협진체계 마련 및 실시간 의료정보서비스를 위해서는 보안관리체계와 정책, 전담 인력의 마련하는 일은 반드시 먼저 해결되어야 하는 과제다.
보안전문가가 제시한 의료정보
시스템의 보안 요소 '여섯 가지'
첫째, 사용자 인증
의료정보시스템에 로그온 하기위한 ID/패스워드와 같은 접근방식과 전자인증서, 지문 등 생체인식 등을 적용하는 것이다. 의료분야에서 사용되는 시스템은 일정시간 동안 사용되지 않는 경우에 자동 로그오프 되도록 해야 한다.
둘째, 전자서명 및 암호화
의무기록 등 의료정보를 권한과 책임에 맞는 의료인이 작성하고 다른 의료인에게 정확하게 전달하고 보호하기 위한 방안이다.
의료인이 진료기록을 작성할 때에 전자서명을 적용해 진료기록을 암호화고 원본임을 증명하는 것이다. 이는 의료법에도 전자의무기록을 보존할 때 반드시 적용해야하는 법적 의무 사항으로 규정되어 있다.
셋째, 접근제어 및 권한관리
사용자가 적법한 요구를 하고 있는 정보에 대해서만 접근을 허용하는 절차를 접근제어라 하며, 이에 대한 권한 관리는 업무 중심으로 이뤄져야 한다. 접근제어 및 권한관리는 업무와 역할별로 환자 기록에 대한 접근 허용 범위와 수정, 조회, 삭제 등 역할 범위를 정의한다.
넷째, 감사 및 추적체계
의료기관은 정보에 대한 접근기록을 유지하는 검색 및 사용 가능한 형태의 감사추적 시스템을 유지해야 한다. 의료정보에 접근 기록에 대한 감시와 추적은 부당한 방법으로 정보에 접근하거나 정보유출을 방지하기 위한 장치이다.
넷째, 물리적 보안과 재해복구
의무기록실과 주요 정보시스템에 대한 물리적 접근을 제한하고 자연재해나 시스템 결함과 같은 긴급 상황 시 정보 접근 보장과 기본 기능을 수행할 수 있도록 하는 시스템이다. 최근 병원들은 의무기록실과 전산실/정보전산센터 등에 물리적 보안체계를 많이 세워놓고 있으며, 백업 및 재해복구시스템 구축에도 보다 관심을 쏟고 있다.
다섯째, 원격 접근지점 보안
원격 접근지점은 네트웍을 통한 외부 접근을 시도하는 침입자로부터 정보시스템을 보호하기 위한 네트웍 침입차단 장치이다. 이러한 6가지 요소는 경중의 차이나 선후차성이 있는 것이 아니라 모두 중요하다.
INTERVIEW
가톨릭대학교 강남성모병원
차성순 정보지원팀장
"병원의 데이터가 환자 개인의 신상정보임과 동시에 개인의 생명과 관련되어 있다는 점에서 환자의 정보유출 방지가 병원의 보안에서 가장 중요하다. 그러나 보안은 보험적인 성격을 띠고 있어 예산을 확보하고 급변하는 IT환경을 수용하며 보안에 투자해야 할 지 가늠하는 것이 어렵다."
강북삼성병원
김인대 정보전략실 과장
"보안 투자에는 비용이 많이 들고 시스템을 도입한 후 관리 포인트도 늘어나기 때문에 사용할 수 있는 비용과 효과를 분석해 투자할 수밖에 없다. 수준별 보안 정책과 체계를 세우는 것이 필요하다."
고대안암병원
서창길 정보전산실
정보기획팀장
"다양한 보안솔루션을 도입한다고 해도 100% 완벽한 보안이 보장되는 것이 아니기 때문에 투자에 대한 가치를 검증하는 것이 무척 어렵다. 이것이 바로 경영층을 설득하기 어려운 점이다."
고대구로병원
최용태
정보전산실 전산운영팀장
"웜이나 바이러스 등이 들어와 네트웍에 부하를 일으켜 업무 마비를 유발한다면 환자 진료에 직접적인 영향을 미쳐 경제적 손실과 신뢰성에 큰 타격을 준다. 이 때문에 최근 2년 동안 보안의 필요성에 대한 인식이 많이 확산되었다."
관동의대 명지병원
오재우 전산정보 팀장
(대한병원정보협회 사무총장)
"병원에서 보안체계를 세우기 위한 여러 가지 어려움 때문에 대한병원정보협회는 보안 자문위원을 위촉해 보안감사와 솔루션 BMT 표준을 만들 방침이며, 신시스템에 대한 파일럿 프로젝트를 진행해 회원병원과 공유할 계획이다."
국민건강보험공단 일산병원
정성직 의료정보팀장
"향후 실시간 의료정보서비스를 할 때 보안시스템에 의한 네트웍 안정성 보장 등이 경쟁력이 될 것이다. 탐지 예방 대응 그리고 보안 교육이 체계화 되어 있어야 하며, 보안 전문가와 전담인력이 필요하다."
분당서울대병원
윤종활 의료정보팀 과장
"보안은 강하게 적용하면 적용할 수록 불편해지지만 만의 하나 일어날 수 있는 사고 방지책으로 가져가는 것이다. 수십 대의 보안 시스템 보다 한 명의 사람이 낫기 때문에 보안 전담인력 구성 및 운영이 가장 중요하다."
삼성서울병원
김동수 정보지원팀장
"정보보호를 위한 정부차원의 기준을 명확히 하고 전자의무기록에 대한 보안 법규 등 급변하는 IT환경에 맞는 법률 마련과 행정적 규제를 적기에 시행하는 것이 필요하다. 또 보험 수가 반영이나 보안 투자의 세금 감면 조치 등을 시행한다면 보다 적극적인 정보보호 투자가 이뤄질 수 있을 것."
서울대병원
박성규 정보행정팀장
"무엇보다 구성원의 보안의식이 가장 중요하다. 때문에 물리적 보안과 기술적인 보안을 최대한 완비해놨다고 해도 직원 보안의식 교육과 보안관리를 충실히 해야 한다."
순천향중앙의료원 전산실
윤수근 부장
"이왕 투자하는 김에는 과감하게 하는 게 낫다. 안하면 안되기 때문에 적은 비용을 들여 울며 겨자먹기식으로 하다 보니 짧은 기간에 OCS를 3~4번 바꾼 곳도 있는 것처럼, IT든 보안이든 할 때 안정적으로 하는 것이 중요하다."
이화여대 의대 부속 목동병원
공형식 전산과장
"현재는 웜, 바이러스와 스팸메일이 가장 큰 문제로 나타나고 있다. 병원에 EMR이 구축된 후에는 보안관리에 특히 신경을 많이 써야할 것이다."
인제대학교 상계백병원
김용옥 의료정보실장
"현재의 병원 시스템으로 과도한 보안 투자는 강아지에 비단 옷을 입힌 것과 같다. 웹 환경 전환 등 원격진료를 이루기 위한 기반이 되는 IT투자부터 먼저 해야 한다. 이것이 이뤄지면 보안은 자연스럽게 강화될 것이다."
인제대학교 일산백병원
이창수 의료정보실장
"중요한 환자의 정보를 다루고 있는 병원은 기본적으로 강력한 내부보안체계를 운영하고 있다. 앞으로 웹 환경으로 전환되고 EMR이 구축되면서 이러한 디지털화된 정보관리는 더욱 중요해질 것이다."
한국보훈복지의료공단
서울보훈병원
박종철 의료정보과장
"보안 심각성을 인식하고 있어 기존 보안체계를 보완하는 장비를 조기에 도입하려고 추진 중이다. 그런데 막상 투자하려고 하면 우선순위를 정하기 어려워 보안컨설팅을 받았다."
한림대의료원
김용상
정보전략실 IT인프라팀장
"IT기술과 공격 유형은 계속 진화하기 때문에 필요한 시점에 하지 않는다면 그 솔루션은 무용지물이 된다. 당한 다음에 하는 방비책은 또 다른 허점을 남길 수 있다."
한양대병원
황인남 의료정보과장
"핵심 의료시스템 중 PACS가 빠르게 확산되고 안정화된 것이 바로 수가에 반영됐기 때문이다. IT 및 보안 시스템 투자에서 PACS와 같은 정부의 보조책이 절실하며, 건강보험심사평가원으로 보내지는 EDI 시스템의 보안 강화 등 정부부터 보안 의지를 보여줬으면 좋겠다."