#2013년 8월 국내 대형 대학병원 두 곳에서 해킹으로 환자 의료정보가 무더기로 유출되는 사고가 발생했다. 해당 병원의 진료기록, 처방목록, 자기공명영상(MRI) 촬영화면 등 상당수가 해외로 유출됐다. 당시 보안전문가는 다수 의료기관 PC가 악성코드에 감염됐다고 분석했다. 서버 한 대가 2000대의 PC를 동시 제어할 수 있다는 점을 감안하면 경우에 따라 엄청난 의료재앙이 올 수도 있는 사고다.
병원 등 의료기관에서 다루는 정보는 환자 진료·검사·수술·처방 등 의무기록뿐만 아니라 주민등록번호·주소·전화번호 등 개인정보와 결제 카드 정보 등 다양하다. 최근 유전자 분석 문턱이 낮아지면서 맞춤의학을 위해 환자 유전정보도 다룬다. 그만큼 의료정보는 민감하다.
미국, 일본 등 의료선진국은 의료정보보호를 위해 관련 법·제도를 시행하고 있다. 미국은 1996년 의료프라이버시법(HIPAA)을, 일본은 2003년 개인정보보호에관한법률을 시행했다. 우리나라는 2011년 9월 개인정보보호법이 시행됐지만 의료정보에 대한 구체적이고 독립적인 내용을 담고 있지는 못하다.
병원 등 의료기관은 민감한 개인정보 등 의료정보 보호에 노력하지만 수준이 기관마다 상이하다. 의료정보시스템 보안 강화와 전담인력 보유는 일부 대형병원에 불과하다. 다른 산업에 비해 정보보호 체계가 현격히 떨어진다. 원격의료·진료정보교류·모바일 디바이스 사용 등에 따른 정보보호 이슈는 논의하지만 실제 의료기관 내에 있는 정보보호는 간과하고 있다는 지적이다.
의료기관의 정보보호 수준을 높이기 위해 의료정보보호 프레임워크 개발이 시급하다. 대표적인 보안 프레임워크는 지난해 2월 미국 NIST에서 발표한 ‘주요 기반시설 보호를 위한 사이버보안 프레임워크’다. 보안 프로세스를 인지·보호·탐지·대응·복구 등으로 나눠 프레임워크 코어로 다룬다.
의료정보보호 프레임워크는 일반적 보안 프레임워크가 담고 있는 내용은 물론, 의료기관 특수성도 반영해야 한다. 기본적으로 암호와, 사용자 인증, 전자서명, 접근제어, 감사추적 등 다양한 보안 기술과 정보보호 관리체계도 필요하다. 데이터 익명화, 보안 전송 프로토콜 등도 포함돼야 한다.
이를 위한 표준화 작업은 활발하게 이뤄진다. 안선주 스마트의료국가기술표준코디네이터는 “의료기관을 위한 의료정보보호 프레임워크는 개별 기술과 표준 기반으로 1~2년 내 개발돼야 한다”며 “지속적 보완과 관리도 요구된다”고 강조했다.
<미국 정보보호 프레임워크 코어 구성 / 자료:NIST>
신혜권기자 hkshin@etnews.com