의료 분야는 타 산업에 비해 보안 투자가 가장 취약하다는 지적이 쏟아졌다.
의료 분야는 수익에 민감하기 때문에 전산장비보다 의료기기 도입에 더 많이 투자하기 때문이다. 전산장비 중에서도 가장 수익이 눈에 띄지 않는 보안은 사각지대로 방치될 수밖에 없다는 것이다.
하지만 각종 개인정보 유출사고 속에서 병원도 더 이상 안전지대가 아니라는 목소리가 높아지고 있다.
특히 병원의 개인정보가 유출될 경우 환자의 건강, 병력관리 나아가 생명과도 직결될 수 있기 때문에 의료 부문의 개인정보는 가장 중요한 정보로 부상하고 있다. 무엇보다 오는 9월부터 개인정보보호법이 본격 시행될 예정이라 더이상 병원들도 보안 투자를 미룰 수 없게 됐다.
지난해 보건복지부가 마련해 배포한 ‘의료기관 개인정보보호 가이드라인’에 따르면 비의료인을 포함한 5인 이상의 개인정보보호위원회를 구성하고 1인 이상의 보안전담 정규 인원을 둬야한다. 또 2~3년마다 정보보호 감사를 받아야하고 정보보호 교육, 정보자산 목록화, 보안 등급 부여 등을 시행할 것을 명시하고 있다. 개인정보보호법이 정식으로 발효되었으니 단순히 가이드라인 수준이 아니라 반드시 시행해야하는 강제성으로 의료기관 개인정보보호는 보다 구체화될 전망이다.
이처럼 개인정보보호법 발효와 함께 의료 분야에 2011년 최고의 미션으로 떠오른 보안설비 구축에 국내 중·대형 병원은 바쁜 움직임을 보이고 있다. 방화벽, IPS, IDS 등의 경계 보안제품 구축을 넘어 DB보안, 문서보안, 서버보안 등의 내부자 보안을 강화할 수 있는 제품을 속속 구입 중이며, 나아가 컴플라이언스까지 대비한다는 방침을 세우고 있다.
또 개인 병력을 일정 기간 이상 보관해야 하는 특성으로 데이터 손상 역시 치명적이기 때문에 재해복구센터 등도 현안으로 떠오르고 있다. 몇몇 병원은 네트워크 업그레이드와 함께 네트워크에 접근하는 접속 단말의 보안성을 강제화할 수 있는 NAC(Network Access Control)를 도입하려는 요구도 높다.
관리적인 보안 역시 간과할 수 없는 부분이다. 병원의 경우 전자의무기록(EMR), 의료영상 저장전송시스템(PACS), 처방전달기록(OCS) 등 의료정보시스템이 많이 구축되었다고 하지만, 여전히 진료차트 등을 수기로 작성하거나 출력된 문서로 활용되는 경우가 많다.
이러한 문서들의 경우에도 사용 목적이 완료된 경우에는 즉시 폐기하는 등의 조치를 취하고 의료정보시스템의 접근 권한을 세분화해 담당자만이 환자정보에 접근하는 것을 허용하는 등의 조치가 반드시 필요하다.
◇ 병원 분야 보안 체크리스트
1. 의료정보 보호를 위한 표준 정책·지침을 수립·운영하고 있는가.
2. 의료정보 보호 전담 인력을 구성하고 있는가. (500병상 이상)
3. EMR 등 의료정보시스템 접근권한이 세분화 돼 있는가. (담당 환자정보만 접근 허용)
4. 의료정보 보호 현황의 정기적인 점검·감사가 진행되는가.
5. 환자정보 저장시 암호화가 이뤄지는가.
6. 환자정보 유출 등에 대한 침해사고 대응 절차가 수립돼 있나.
7. 의료정보시스템의 기술적 보호조치를 적용하고 있는가. (예:방화벽, IPS 등)
8. 진료용 모바일기기(예:간호사 PDA, 스마트폰, 노트북)의 보안통제가 이뤄지는가.
9. EMR 등 의료정보시스템 환자정보 접근 기록 관리가 이뤄지는가.
10. 의료정보시스템의 백업 및 재해복구 체계가 수립돼 있는가.
장윤정기자 linda@etnews.co.kr
관련 통계자료 다운로드 의료기관 네트워크 구성도