[IT산업 20년 전] 의료 분야에 불기 시작한 보안 바람

보안 강화 나선 병원들

20년 전, 병원의 IT 시스템 도입이 늘어나면서 정보보안 위협과 사이버 공격 등 크고 작은 위협도 증가했다. 이전에도 병원의 많은 업무가 전산화되기는 했지만 폐쇄적 환경 때문에 상대적으로 다른 분야에 비해 보안에 대한 위협은 적었으나 인터넷 사용, 웹 환경 전환 및 확대, 병원 간 진료 정보 공유 등으로 병원 환경이 개방돼 보안 위험도가 덩달아 증가했다.

웜이나 바이러스 같은 사이버 공격으로 인해 시스템에 장애가 발생할 경우 환자 진료와 치료, 서비스 업무에 문제가 생길 수 있게 된 것이다. 또 해킹으로 인해 디지털화된 정보가 유출되거나 위·변조 당해 환자의 프라이버시가 침해될 위험도 증가하고 있었다.

2005년 당시 병원들 간 경쟁이 점차 치열해지고 수익성이 악화되는 상황에서, 대부분 병원은 진료 및 의료 서비스 품질뿐 아니라 시설 및 고객서비스 수준을 향상시키기 위해 정보시스템을 도입했다. 하지만 여느 업종과 마찬가지로 당장 눈에 띄지 않는 ‘보안’ 문제는 후순위 투자 대상이 되는 경우가 많았으나 대형 병원을 중심으로 보안에 대한 투자가 활기를 띄기 시작했다. 서울·경기 지역의 500병상 이상의 종합병원들이 보안 예산을 확보해 기존 보안 체계 강화에 나섰다.

IT 담당자 골칫거리 바이러스와 웜

병원들이 보안 투자에 적극적으로 나선 배경에는 특히 ‘웜’과 ‘바이러스’가 있었다.

당시 사세르(Sasser) 웜이 기승을 부리며 국내 최대 규모 종합병원의 전산망이 마비돼 환자 진료와 병원 업무에 큰 차질을 겪은 사건이 있었다. 이뿐만 아니라 PC와 인터넷을 사용하는 크고 작은 병원들도 바이러스나 웜 같은 악성코드에 시스템이 감염돼 시스템이 다운되거나 네트워크에 영향을 받은 경우도 종종 발생했다.

정보시스템에 의존하는 병원 업무 비중이 늘어남에 따라 바이러스 등 사이버 공격 형태가 더욱 지능화, 악성화된 것이다. 이러한 사이버 공격으로 인한 업무 및 진료 차질은 고객의 불편뿐 아니라 이미지에도 타격을 줘 서비스 산업인 병원에게 직접적인 경제적 피해로 이어졌다.병원의 네트워크·시스템 담당자들이 사고에 민감하게 반응할 수밖에 없는 이유였다.

 

네트워크 안정화 목표로 보안 체계 마련

2005년 병원들은 보안 강화에 나서며 먼저 네트워크 및 클라이언트 시스템 안정화에 집중했다. 기본적으로 2000년대 초반부터 안티바이러스와 방화벽을 사용해 온 대부분의 병원은 공격 유형과 IT 환경 변화에 맞춰 보안 강화책을 마련하고 있었다.

병원들은 기존에 사용하던 안티바이러스를 통합 PC 보안 솔루션으로 업그레이드하거나 타 솔루션으로 교체하는 등 보강에 나섰다. 클라이언트 단에서 PC 방화벽과 패치관리시스템(PMS) 또는 배치관리와 보안 소프트웨어 배포, IP 관리 기능 등을 포함한 통합 PC 및 자원 관리 솔루션을 가장 많이 도입하는 추세였다.

당시 보안 담당자들은 “직원들이 병원 외부에서 사용하던 노트북을 병원 내부에 연결해 사용하면서 바이러스를 유포하는 경우가 잦다. 따라서 보안 패치나 안티바이러스 소프트웨어가 깔린 컴퓨터만 접속을 허용하거나 자동 배포나 강제 설치시키는 PC 보안 관리 솔루션은 필수”라고 설명했다.

또한 병원들은 네트워크 단에서 외부에서 들어오는 침입을 걸러내 주는 방화벽과 이를 보완, 능동 대처하는 침입방지시스템(IPS), 바이러스월, 통합 보안 장비 등 네트워크 보안 제품의 도입도 고려하는 것으로 드러났다. 유해 트래픽으로 인한 사이버 공격이 심했기 때문이다.

 

내부 보안 체계도 구축

당시 업계 관계자들은 병원이 보안 강화에 나선 또 다른 이유로 ‘환자 정보 보호의 중요성’을 꼽았다. 정보시스템이 늘어나고 환자의 정보가 데이터화되면서 관리해야 하는 환자의 데이터양이 늘어났기 때문에 정보보안의 중요성이 더욱 주목받은 것이다.

처방전달시스템과 의료영상저장전송시스템이 이미 안정화된 단계에 들어가고 전자의무기록과 전사적자원관리(ERP)와 비슷한 의료정보시스템(MIS)이 확산, 타 정보시스템과 결합되면서 대부분의 정보가 종이나 필름이 아닌 디지털화된 데이터로 남겨지기 때문에 이와 같은 보안 체계 마련은 더욱 중요해졌다.

병원들은 네트워크 보안이 안심할 수 있는 단계에 들어가거나 네트워크 보안을 수립 중인 경우, 중요 정보가 담긴 서버나 DB 보안관리 정책 설정과 관련된 전문 솔루션을 도입하고, 이에 인증 및 권한관리 체계를 강화하는 작업을 고려했다. 실제로 강북삼성병원, 분당서울대병원, 서울대병원, 서울보훈병원, 삼성서울병원, 한림대의료원, 한양대병원 등이 이를 이미 적용 중이거나 준비하고 있었다.

보안 투자에 신중한 병원들

이러한 병원들의 노력에도 불구하고 당시의 환자 정보를 보호하기 위한 체계는 미진한 것으로 평가받았다. 몇몇 병원을 제외하고는 아직 네트워크와 PC 레벨의 보안 투자를 진행하고 있기 때문으로, 각각의 정보시스템에 대한 강력한 사용자 인증과 접근제어 및 권한관리, 의료정보에 대한 전자서명 및 암호화, 감사 및 추적 체계 등이 제대로 마련돼 있지 못했다. 대부분의 병원이 ID와 패스워드, 부서 및 직무별 메뉴 관리 등에 의존한 인증 및 권한관리 체계를 활용 중인 상황이었다.

당시 보안 전문가들은 의료기관의 보안은 무엇보다 ‘환자 정보’를 보호하는 것이 중요하다고 입을 모았다. 에이쓰리시큐리티컨설팅 윤영 책임컨설턴트는 “현재 병원들이 보안과 관련해 가장 신경 쓰는 분야는 PC와 네트워크지 서버가 아니다. OCS나 EMR의 아이디와 패스워드가 도용됐을 때 정보 유출이 가능하므로 2, 3차 인증수단이 필요하며, 변조 없이 데이터를 안전하게 가져올 수 있는 신뢰성을 보장할 수 있는 장치가 필요하다”고 말했다.

또한 전자 차트인 EMR을 병원 전체에 적용한 분당서울대병원과 서울대병원, 외래와 수술실로 확장하고 있는 삼성서울병원 등 일부 병원만이 환자 정보 유출 방지를 위한 사용자 인증 체계와 전자서명 및 암호화, 감사 체계를 모두 마련했다고 평가했다.

이에 대해 대부분 병원 관계자들은 “환자 정보 유출 방지를 위한 체계는 EMR이 확산되면서 자연스럽게 보완책이 마련될 것”이라고 밝혔다. 선도적인 보안 투자가 현재 수준에서는 무리한 투자가 될 수 있다는 것으로, 병원 전반의 IT 인프라가 아직 초입인데 강력한 보안만 적용할 수 없다는 주장이었다.

상계백병원 김용옥 의료정보실장은 “현재의 병원 시스템으로 과도한 보안 투자는 낭비다. 이는 강아지에 비단옷을 입힌 것과 같은 것”이라며 “오히려 웹 환경 전환 등 원격 진료를 이루기 위한 기반이 되는 IT 투자부터 먼저 해야 한다. 이것이 이뤄지면 보안은 자연스럽게 강화될 것”이라고 강조했다.

서울아산병원 이용수 과장은 “현재 병원의 인프라가 약한데 무리한 보안 투자는 하기 어렵다. 만약 보안과 관련된 무리한 의무를 병원에 제시하면 과연 병원들이 그에 맞는 투자를 할 수 있겠는가”라고 밝혔다. 삼성서울병원 김동수 정보지원팀장은 “병원들의 수익성이 악화되는 어려운 상황에서 투자에 소극적일 수밖에 없을 것”이라고 당시 분위기를 설명했다.

비용과 관리 인력 증가가 걸림돌

사실 ‘보험’과 비슷한 성격을 가진 보안은 다른 IT 시스템과 다르게 그 투자 가치와 효용성을 검증하기가 어렵다. 오히려 무리하게 적용했다가 불편함을 이유로 사용하지 않거나 편의성을 높이는 일종의 편법 시스템을 개발해 그 보안성을 스스로 낮추는 일이 발생하기도 한다.

이것저것 다단계 보안 시스템을 구축했어도 ‘100% 완벽 보안’을 자신할 수 없다는 점도 보안 투자에 있어 나타나는 어려움이다. 또 다양한 보안 시스템을 설치하면 그에 따른 관리 포인트와 비용이 증가하는 것도 문제다. 병원들은 가뜩이나 적은 예산에서 보안에 큰 비중을 할당할 수 없었지만 보안 사고가 터지면 IT 담당자들에게 책임을 묻는 상황이었다.

명지병원 오재우 전산정보팀장은 “보안 솔루션 도입은 자칫 과대 투자나 중복 투자의 소지가 크다. 그렇다고 100% 완벽한 보안이 보장되는 것이 아니다. 투자에 대한 효용가치를 검증하는 것이 무척 어렵다”고 말했다.

다른 병원 담당자들도 마찬가지였다. 일산병원 정성직 팀장은 “보안은 경계가 모호해 자칫 중복으로 투자할 우려가 있다. 이번 시스템 도입을 검토하고 결정하는 데에도 1년이 걸렸다”며 “병원의 전반적인 TCO를 줄여야 하는데 보안 솔루션을 도입하면 관리 인력이 또 필요하다. 이 때문에 일산병원은 통합보안시스템을 도입한 것이다”라고 밝혔다.

고대안암병원 서창길 정보기획팀장은 “비용과 불확실성이 경영층을 설득하기에 가장 어려운 점”이라고 설명했다. 이렇듯 대부분 병원의 IT 투자는 병원장과 CIO의 보안 인식과 의지가 크게 작용했다.

하지만 일각에서는 보안에 대한 긍정적으로 시각도 나타났다. 일단 보안의 중요성과 필요성에는 모두 공감하고 있으며, 경영자와 의사, 간호사 등 현업에 있는 사람들의 보안에 대한 인식이 이전에 비해 많이 개선됐다는 것이다.

한림대의료원 김용상 팀장은 “IT 기술과 공격 유형은 계속 진화하기 때문에 필요한 시점에 보안을 도입하지 않는다면 나중에는 무용지물일 것”이라며 “당한 다음에 하는 방비책은 또 다른 허점을 남길 수 있다”고 강조했다.

한편 보안 투자를 결정하기는 어려워도 일단 하기로 정했으면 적정 비용을 투자해 제대로 하는 것이 중요하다는 의견도 제시됐다. 순천항중앙의료원 윤수근 부장은 “이왕 투자하기로 했으면 과감하게 하는 편이 낫다. 필요성 때문에 적은 비용을 들여 울며 겨자 먹기식으로 하다 보니 짧은 기간에 OCS를 3~4번 바꾼 곳도 있다. IT든 보안이든 할 때 안정적으로 하는 것이 중요하다”고 설명했다. 값싸게 구색만 맞추는 것보다 확실하게 하는 것이 장기적으로 비용을 절감하고 효용성을 높이는 방안이라는 지적이다.

 

보안 솔루션 선정 기준과 관리 체계 수립 어려워

보안 담당자들은 보안 체계 및 전략 수립과 솔루션 선정 기준을 잡기 힘들다는 점도 보안 투자에서 겪게 되는 어려움으로 지적했다. 병원에 보안 전문가가 부족하고 병원 밖에도 병원 환경을 제대로 이해해 가이드를 제시할 곳이 많지 않은 상황이 이러한 현상을 더욱 부각했다는 것이다.

당시 강북삼성병원, 고려대병원, 관동의대 명지병원, 분당서울대병원 등이 보안 체계와 규정을 만들고 있었으며 서울아산병원 등이 중장기 보안 마스터플랜을 수립하려는 계획 보유했지만, 병원에 가이드가 될 만한 사례가 없어 어려움을 겪는 상황이었다.

병원들은 그동안 한두 개의 솔루션을 통해 보안 체계를 수립해 왔지만, 전체적인 보안 정책을 세워 본 경험이 부재했다. 곧 실무자들은 우선순위에 따른 중장기 솔루션 도입 계획을 수립하는 것을 어려워했으며 괜찮은 솔루션을 선정하는 기준도 확실치 않았다.

실제로 2005년 본지 취재 과정서 보안 전문업체들에 병원 환경에 맞는 솔루션을 자문했을 때 병원 환경을 제대로 이해하거나 그에 맞는 보안을 체계적으로 제시할 수 있는 전문가가 매우 드물었던 것으로 나타났다.

한 병원 담당자는 “그동안 병원은 보안에 관심이 크지 않았고 투자해 봤자 수익으로 이어지는 것이 아니기 때문에 별 관심을 기울이지 않은 것 같다”고 이유를 분석했다. 결국 사고나 문제가 발생했을 때 투자가 이뤄지며, 보안 전략 로드맵을 제대로 그리지 못하고 있다는 것이 병원 정보 담당자들의 공통된 시각이었다.

고대구로병원 최용태 팀장은 “오히려 보안업체들은 제품에 이것저것 기능만 많이 넣어 도입 시 혼란을 준다. 각각의 보안 솔루션이 애매모호하게 느껴지지 않도록 전문적인 기능을 구현했으면 좋겠다”고 보안 솔루션의 문제점을 지적했다.

이런 문제를 해결하고자 당시 대한병원정보협회는 보안 자문위원을 위촉해 병원 보안관리체계를 세울 수 있는 보안감사와 솔루션 BMT 표준을 방침을 제시했다. 신시스템에 대한 파일럿 프로젝트를 진행해 회원병원과 공유한다는 방침이었다.

정부, 보안 가이드라인 제시 등 역할 필요

공공의 성격을 띠는 기관인 병원에 대한 정부 차원의 보안 가이드라인 제시나 보안 기준, 특화된 법규 체계 마련도 필요한 상황이었다. 2005년 당시 보안업계는 주요 정보통신기반시설이나 안전진단에 병원도 반드시 포함돼야 한다고 주장했다. 병원 정보 담당자들도 정부의 역할이 필요하다는 데 동의했으며, 무리한 의무 적용이 아닌 국내 의료시장 경쟁력을 고려한 단계적 접근이 바람직하다고 제언했다.

또한 EMR 확산에 발맞춰 전자의무기록에 대한 특화된 법규가 필요하다는 지적도 제시됐다. 미국에서는 전자의무기록 보안을 위해 이미 전자의료보험청구법(HIPPA) 법령을 시행하고 있었다. 소프트포럼 이지현 컨설팅팀장은 “병원의 보안 투자를 끌어내기 위해서는 미국 전자의료보험청구법과 같은 법 발효나 보안 컨설팅 안전진단 서비스 대상으로 묶어야 할 것이다”라며 “현재 병원의 보안 투자는 솔루션에 맞춰지고 있을 뿐 병원 고유의 영역에서 ‘무엇을 보호할 것인가’ 하는 보호 대상이 불분명하다. 법규로 내려와야 체계적이고 단계적으로 진행할 수 있을 것이라 보이며 이에 대한 시도가 필요하다”고 말했다.

삼성서울병원 김동수 팀장은 “정보보호를 위한 정부 차원의 기준을 명확히 하고 전자의무기록에 대한 보안 법규 등 급변하는 IT 환경에 맞는 법률 마련과 행정적 규제를 적기에 시행하는 것이 필요하다. 또 보험 수가 반영이나 보안 투자의 세금 감면 조치 등을 시행한다면 보다 적극적인 정보보호 투자가 이뤄질 수 있을 것”이라고 주장했다.

한양대병원 황인남 의료정보과장은 “PACS가 빠르게 확산된 것은 바로 수가에 반영됐기 때문”이라며 “건강보험심사평가원으로 보내지는 EDI 시스템의 보안 강화 등 정부부터 보안 의지를 보여줬으면 좋겠다”고 주문했다.

비슷한 의견으로, 한림대병원 김용상 팀장은 “현재 OCS 시스템보다 PACS 시스템이 더 안정적이고 견고하다. 정부에서 수가를 지원하고 장비 기준에 맞는 기능도 확인하기 때문이다”라며 “병원이 정보보호를 위한 적극적인 투자가 진행되도록 정부 차원의 보조책이 절실하다”고 강조했다.

한편 당시 관계자들은 병원이 환자의 생명을 다루는 ‘공공성’을 지닌 기관으로 윤리와 보안 의식을 갖추는 것이 필수적이라고 입을 모았다. 제대로 된 보안을 위해서는 병원 자체의 내부 보안 정책과 규정 그리고 그에 따른 감시 및 감사 체계가 마련돼 있어야 하며, 이를 수행하는 전담 조직이나 인력이 필요하다는 것이다. 하지만 2005년 병원의 정보보안 책임자는 대부분 의료정보팀장이나 전산과장들에게 있었고 실무 담당자는 네트워크나 시스템 담당자가 병행했기에 전문화될 필요가 있었다.