“의료 정보보안 투자는 내부적으로 직원 불만과 예산 부족, 외부적으로는 각종 규제가 장애요인입니다. 정보보안 인식 제고를 위한 교육을 지속하되 이제 의료계가 한 목소리를 내고 정부 규제 개선과 제도마련을 유도해야 합니다.”
서울 삼성동 코엑스에서 열린 '제2회 의료정보리더스포럼 콘퍼런스'에서는 병원 최고정보책임자(CIO)들이 내·외부 직면한 정보보안 과제를 해소하기 위해서는 스스로 목소리를 내야한다고 주장했다. 보안 중요성을 내부에 설득하는 동시에 제도개선이나 가이드라인 제정에 의료계가 적극 나서야한다고 강조했다.
◇정보보호 vs 연구 활성화…망 분리-연계 '딜레마'
현재 병원은 다양한 사이버 공격 표적이 되면서 어느 때보다 정보보안 투자가 필요하다. 하지만 보안 시스템 구축에 따른 불편과 비용 부담 등으로 전산 책임자나 실무자 고충이 많다.
대표 사례가 망분리다. 정보보호관리체계(ISMS) 인증 의무화와 정보보안 강화를 위해 병원 망분리 구축 시도가 이어진다. 하지만 성능저하, 외부 정보 활용 불가 등 직원 불편과 예산 확보 어려움 등으로 적극 나서지 못한다. 현재 국립암센터, 삼성서울병원, 분당서울대병원, 충남대병원 등이 일부 진행했을 뿐 완전히 망을 분리한 병원은 없다.
장동경 삼성서울병원 정보전략실장은 “최근 의료기관을 대상으로 한 사이버 공격이 늘면서 환자정보 보호를 위해서는 망분리가 필요하다”면서 “하지만 의료 빅데이터를 활용한 연구가 병원 경쟁력을 좌우하는 상황에서 강력한 망분리는 연구 활동을 저해한다는 점에서 딜레마”라고 지적했다.
석현 순천향대부속부천병원 의료정보실장도 “과거 일부 망분리 사업에서도 OSC, PACS 등 시스템이 엄청 느려지면서 직원 불만이 폭증했는데 이번에도 이런 불만이 커질 것이 분명해 난감한 상황”이라면서 “성능저하나 불편을 줄이기 위해 물리적 망분리를 할 경우 10억원 이상 필요할 것으로 예상되는데, 3차 병원 입장에서도 이 비용은 부담스럽다”고 말했다.
◇내부 설득과 교육이 핵심…불편 해소할 묘안 찾아야
성능저하, 외부 정보 공유나 활용 제약 등 망분리 불편이 정보보안 투자 의지를 위축시키지만 환자 정보보호를 위해서는 불가피한 선택이다. 내부 불만을 해소하고 경영진 투자를 이끌어내기 위해서는 결국 정보보안 의식 고취가 중요하다.
박재형 충남대병원 의료정보실장은 “현재 700사용자 정도가 가상데스크톱(VDI)을 사용 중인데, 최종적으로 현 시스템 중 90%를 망분리 하는 게 목표”라면서 “결국 사업의 성공 여부는 망분리로 얻을 수 있는 사회·경제적 측면을 알려 불편을 감수하고 비용을 확보하는 것”이라고 말했다.
정보보안 인식확산과 함께 '정보보호'와 '연구 활성화' 두 마리 토끼를 잡기위한 묘안도 필요하다. 연세의료원, 분당서울대병원 등은 빅데이터 연구 활성화를 가로막지 않으면서 정보보호 체계를 구축할 망분리 사업을 계획·추진했다.
손장욱 고대의료원 정보전산실장은 “단순히 의료 정보보호를 위해 망분리를 확산할지는 넘어 보다 나은 서비스를 추가할 것인지를 고민해야 한다”면서 “클라우드 도입 목적은 첫째가 보안이고 두 번째가 서비스 다양화인데, 이런 관점에서 도입을 검토할 필요가 있다”고 말했다.
김진응 연세의료원 정보보안팀 파트장은 “의료진 PC는 물리적으로 망을 분리하되 원내에서는 VDI망이나 PC 가상화로 쓰게 하는 하이브리드 방식을 채택했다”면서 “직원 불편함이 가장 큰데 이를 해소하기 위한 방법을 다양하게 시도한다”고 설명했다.
◇규제개선·가이드 마련…의료계 목소리 내야
정보보안 교육, 홍보 강화와 함께 정부 정책이 수반되지 않으면 한계가 있다. 의료계가 현재 문제를 침묵하지 말고 좀 더 적극적으로 정부 지원을 이끌어야 한다는 지적도 제기됐다.
박종환 삼성서울병원 정보보안팀장은 “현재 한국인터넷진흥원 비식별 가이드라인에는 병원의 비정형 데이터는 해당 사항이 아니다”면서 “의료영상 비식별 조치가 없어 빅데이터 한계가 있는데 의료계가 힘을 모아 의료정보를 연구할 기준을 만들어야 한다”고 강조했다.
병원이 정보보안 투자 여력이 없다보니 정부 지원 혹은 투자 동기부여를 만들어야 한다는 주장도 나온다. 현재 대형병원조차 전체 IT 예산에 1%도 정보보안에 투자하지 않는다. 경영진은 정보보안을 포함해 IT 투자보다는 의료기기나 의료진 수를 늘리는 것이 더 중요하다. 특히 정부가 수가로 의료 서비스 가격을 통제하는 상황에서 자력으로 투자는 어렵다고 하소연한다.
박 센터장은 “환자 의료정보는 민감정보라 개인에게도 중요하지만 국가차원에서도 큰 가치가 있다”면서 “하지만 정부는 이 정보 가치를 인정하지만 보호를 위해 투자는 거의 안하는 상황인데 의료계가 국가를 움직여야 한다”고 말했다.
한편 의료정보리더스포럼은 국내 유일 상급종합병원·종합병원 CIO 단체로, 전자신문과 대한의료정보학회가 공동으로 조직했다. 2017년 11월 발족 후 병원 의료정보화 현안과 의료IT 산업발전을 위해 분기별 세미나와 연간 콘퍼런스를 개최한다.
정용철기자 jungyc@etnews.com