난립하는 보안인증 제도, ‘교통정리 필요’ 한 목소리

4차 산업혁명 시대를 맞아 의료정보보호 및 활용을 위한 ‘제 1회 의료정보리더스포럼 콘퍼런스’가 지난 8월 10일 코엑스에서 열렸다.

‘4차 산업혁명 시대, 의료정보보호 현안과 대응방안’이라는 주제로 열린 이번 컨퍼런스에서는 비즈니스 세션과 병원 세션 순서로 진행된 주제 발표와 패널토론이 진행 됐다. 비즈니스 세션은 ‘스마트헬스케어 시대, IT 가치를 높이는 데이터 관리 방안’과 ‘클라우드를 통한 의료 디지털 트랜스포메이션’이라는 주제로 의료정보 관리방안을 제시했으며, 병원 세션에서는 ‘의료정보보호 : 이상과 현실’, ‘의료정보보호 : 난관과 제약’이라는 주제로 의료정보보호의 현재 상황을 진단했다.

다음은 이날 토론 세션에 참석한 주요 패널들의 발언을 정리한 내용이다.

좌장 : 이인식 CIO(건국대학교병원)
정부 : 오상윤 과장(보건복지부 의료정보정책과)
이동근 단장(KISA 침해사고 분석단)
병원 : 장혁재 의장(의료정보리더스포럼)
황희 CIO(분당서울대병원)
박종하 CIO(울산대병원)
기업 : 권필주 수석컨설턴트(효성인포메이션시스템)
학계 : 한근희 교수(건국대)

모두발언

 
가트너에서 글로벌 기업의 전체 매출대비 IT 예산 비중을 조사한 자료를 보면 대략 3.3~3.5%이다. 정보통신기업같은 경우 비율이 5%정도 된다. 국내 기업의 사정을 보면 매출액 대비 IT 예산이 1%정도 밖에 안 된다. 국내 주요 의료기관의 매출액 대비 IT 예산을 조사해봤더니 대부분 1%가 채 안됐다.

게다가 일부 의료기관은 정보보안담당자가 없는 경우도 있고, 담당자가 있다 하더라도 정보보안 관련된 전문자격을 취득하지 않은 경우가 대부분이었다. 그런데 갑자기 수집된 의료정보를 처리하고 활용하는 데만 관심이 집중됐다. 그에 비해 보안에 대한 인식은 크게 변화가 없어 개인정보보호에 대한 이슈와 위험성이 남아있는 상태다. 문제를 개별 의료기관에 맡기기보단 전문가들이 모여서 논의하고 정부, 산업계, 의료기관이 함께 머리를 맞대고 해결해야할 상황이라고 생각한다.


 
EMR 인증제를 내년 하반기부터 본격적으로 도입하기 위해서 1년간 EMR 인증제 시범사업을 하고, 시범사업 동안 8개 내외의 EMR 제품을 대상으로 인증절차를 밟을 계획이다. 의료기관, 의료정보업체 종사자의 상황과 여건, 기준을 고려해서 함께 제도를 만드는 방식으로 접근하고 있다. 보안인증에 대한 우려사항들을 해소할 수 있는 방안을 마련하려 한다. 예를 들어 인증제도 시범사업 동안에는 비용이나 기술적인 지원이 있을 것이고, 향후에는 건강보험 수가에 대한 부분도 추가적으로 검토하고 진행할 계획이 있다.

아울러 제도적인 측면에서도 정비가 필요한 시점인 것 같다. 최근 의료정보가 각광받고 그 중요성이 커지다 보니 의료정보활용에 대한 욕구도 커지고 있다. 그만큼 보호에 대한 필요성이나 우려에 대한 목소리도 높아지고 있다. 의료법뿐만 아니라 개인정보보호법, 생명윤리법 등 많은 법과 규정이 얽혀있는 상황이다. 명확한 가이드라인이나 지침이 의료기관에 알려져 있지 않은 상황이기 때문에 앞으로는 준비가 필요하다.

의료정보는 민감한 정보이기 때문에 더 엄격하게 보호하려는 노력이 필요하다. 그럼에도 (의료정보)활용을 포기할 수 없기 때문에 어느 정도까지 활용해 나갈지 사회적인 논의가 필요하다. 단순히 의료계의 목소리만 받아서 결정할 일이 아니다. 국민들이 관심을 가질 수 있는 이슈로 만들어 논의해나가야 한다. 정부는 크게 세 가지 측면에서 제도 정비를 기획하고 있다.

첫 번째는 환자 측면이다. 환자가 가지고 있는 개인정보를 스스로 어떻게 활용하고 자기결정권을 행사할지에 대한 논의가 필요하다. 환자라 하더라도 무분별하게 자기 정보를 활용해도 되는 것인가에 대해서도 의문이다. 환자의 권리와 활용 가능성, 정보보호에 대해서 환자 측면에서 제도정비가 필요하다.

두 번째는 의료기관 측면이다. 앞서 지적이 나왔지만 어디까지 활용하고 보호할 것인지 애매모호한 부분이 있다. 의료정보를 의사들이 마음껏 쓸 수 있어야 한다고 생각하겠지만 그렇지 않은 의견들도 있다. 정보의 보호, 활용, 제공에 대한 전반적인 제도 정비가 필요하다.

마지막으로 대량의 보건의료정보를 가지고 있는 공공기관 측면이다. 건강보험공단, 심사평가원 같은 보건의료 공공기관들이 가지고 있는 빅데이터의 보유를 어떻게 정당화하고 어떻게 활용할지 전반적인 논의가 필요하다.

계속 제도적인 측면을 말했지만 이를 뒷받침해줄 기술적인 방안들도 개발되어야 한다. 이들을 전반적으로 관리할 거버넌스나 기구들도 필요하다. 법체계 정비도 큰 과제 중 하나다. 새로운 법을 하나 만들 것인지 아니면 의료법이나 개인정보보호법, 생명윤리법 등 기존에 있던 법을 하나의 방향으로 개정해 나갈지 고민이 필요하다.


 
병원에서 침해사고가 발생한 케이스도 몇 번 있었지만 전체로 보면 비율이 높진 않다. 그러나 병원이 가지고 있는 정보가 굉장히 민감하기 때문에 사고가 났을 때 일반 IT기업보다 파급력이 훨씬 클 것이라 예상된다. 실제로 큰 해킹사고가 난 기업들의 경우를 보면 기업 매출 감소나 법적인 과태료를 맞는 것 외에도 기업의 이미지 손실로 인한 고객이탈이 많이 일어났다.

해커들이 병원이 가지고 있는 데이터의 가치를 높게 생각하고 있다. 특히 랜섬웨어는 병원입장에서 값을 지불하지 않을 수 없을 정도로 치명적인 위협이다. 병원이 해킹사고로 마비됐을 때 일어날 사회적 파장도 굉장히 크다.

여러 인증 제도를 통해 보안문제를 해결하려는 노력들이 있지만, 보안담당자 관리에 허점을 가지고 있는 경우가 있었다. 보안담당자들은 상대적으로 굉장히 큰 권한을 가지고 있다. 병원으로 치면 굉장히 중요한 시스템에 접근을 할 수 있고, 특정 시스템의 환경설정 값을 바꿀 수 있는 권한이 있다. 큰 권한을 가지고 있는 직원의 보안 통제가 약하면 큰 구멍이 된다. 꼭 병원이 아니더라도 권한을 많이 가지고 있는 담당자에 대한 통제가 중요하다.

또 하나는 IoT 부분이다. 병원에서도 IT시스템의 고도화, 빅데이터 적용, 웨어러블 디바이스를 이용한 진단기법 등을 고려할 텐데 IoT 관련해서도 큰 문제가 있다. 의료기기는 아니지만 작년에 IP카메라가 큰 이슈가 됐다. IP카메라는 보안이 취약한 상태에서 굉장히 많이 판매됐다.

그러다보니 해커가 IP카메라를 통해서 집안을 몰래 훔쳐보는 사고가 발생했다. IoT 기기들의 대표적인 문제가 한번 판매돼서 시장에 설치되면 보안 수준을 높이는 작업이 굉장히 어렵다는 점이다. 병원입장에서도 새로운 IoT기기를 병원 프로세스에 도입하기 전에 보안성 검토를 철저하게 해야 한다. 새로운 서비스 창출 등 긍정적인 측면에서 도입했더라도 추후에 보안문제로 더 큰 비용을 지출해야 할 수도 있다.
병의원들에게 요구되는 각종 인증과 개인정보보호법으로 인해 병의원들은 필요한 보안 작업을 해야 한다. 이 과정에서 인증이 잘 안 지켜질 경우 처벌이나 벌금 같은 채찍이 사용되는데 잘 하고 있는 곳에 당근을 주는, 인센티브 제도가 필요하다. 채찍이 쓰이려면 반드시 당근이 존재해야 하는데 아직 그런 부분이 잘 보이지 않는다. 정부 포상이 확대되어 잘 하고 있는 곳에는 당근을 주는 인센티브 제도가 준비되었으면 한다. 보안의 경우 잘해야 본전이다. 애를 쓰고 고생하지만 그에 비례해서 포상이 되는 경우는 극히 일부분이다. 특히 의료기관은 의료진이 중심이기 때문에 IT담당이나 보안담당에게 적용되는 인센티브가 거의 없다.

이와 더불어 인증제도를 통합하는 방안이 필요하다. ISMS(정보보호관리체계)의 경우 42개의 종합 병원이 인증의무화가 됐고, 곧 다른 병원들도 필요성을 느끼고 인증 받으려 할 것이다. 각종 인증제도를 종합적으로 묶어서 인증할 수 있도록 하는 의료보안법안이 있으면 한다.

자유토론

오 상 윤 과장 (보건복지부 의료정보정책과)
2007년도에 건강정보보호법이 발의가 돼서 논의가 되다가 폐기된 것으로 알고 있다. 그 이후 개인정보보호법안이 만들어졌다. 주변에서 의료의 특수성을 고려한 법안이 필요하다는 이야기가 나온다. 인증제도가 난립하는 것은 일선 기관에서는 부담이기 때문에 법제도 정비가 필요하다. 다만 걱정되는 것은 법을 개정한다고 하면 새 법을 하나 만드는 것이 좋은지 기존에 분산되어 있는 법을 한 가지 방향으로 향하게끔 개정해나가는 것이 좋은지 고민해봐야 한다.

자칫 법을 잘못 설계하면 더 큰 부담이 될 수도 있다. 효과적인 방법에 대해서는 법률 전문가와 상의해야한다. 다만 의료 쪽에 법적인 강화된 제도적인 기반이 필요하다는 것에 대해서는 공감하고 있다. 어떤 식으로 구현할 것인가에 대해서 고민해야 한다.

이 동 근 단장 (KISA 침해사고분석단)
인증의 중복성 문제로 어려움을 겪고 있다는 건 잘 알고 있다. ISMS와 PIMS(개인정보보호 관리체계)의 경우는 통합작업을 진행하고 있다. 정부 입장에서도 중복된 부분에서 나오는 부담을 최소화 하려고 하고 있다. 정부가 업무를 편하게 하기 위해서가 아니라 법에 대해서 부담을 가지는 분들을 위한 방향으로 개선해 나가야 한다.

한 근 희 교수 (건국대학교)
ISMS와 PIMS 통합작업을 해보니 약 78.8%가 중첩된다. ISMS에서 사용하는 기준과 개인정보보호차원에서 인증하는 기준이 거의 80%정도 겹친다. 나머지 20%만 추가하면 통합되는 것이다. EMR 시스템인증제 작업에서도 최소한으로 줄이려 노력했으나 상당수가 ISMS와 PIMS의 내용과 비슷했다. 의료기관이 인증제도를 각각 따로 받는 것보다 한 번에 받을 수 있으면 효율적일 것이다.

오 상 윤 과장 (보건복지부 의료정보정책과)
EMR 인증제도는 의무사항이 아니라 부가적인 것이다. 안 받는다고 해서 문제가 되진 않는다. 보안을 잘 하고 있는 곳에 인증을 해주고 점차 확산되는 효과를 기대하고 있다. 의무 인증이 아니기 때문에 의무 인증사항과 병행할 수 있다.