박종환 회장 “병원 보안전문가는 ‘사명감’과 ‘자긍심’ 필요”
병원은 보안 담당자만이 아닌 의료진, 행정직 모두가 ‘최종 보안책임자’라는 마음 가져야
병원 보안 뚫리면 사람 목숨까지 위협...시스템 보안, 환자 안전이 보안담당자의 책무

[보안뉴스 김영명 기자] 보안은 24시간 365일 쉼없이 이뤄져야 한다. 특히, 인간의 생명을 살리고 지켜야 하는 ‘병원’에서는 더욱 그렇다. 그럼에도 병원을 타깃으로 한 사이버 공격이 발생해 환자가 목숨을 빼앗기거나 병원 문을 닫는 일까지 발생하고 있다. 이러한 가운데 병원정보보안협의회(Hospital Information Security Association. 이하 HISA)는 환자의 개인정보를 보호하고, 의료기관의 정보보안 강화를 위해 2018년 6월 설립됐다. 이에 HISA를 이끌어나가는 박종환 2대 회장을 만나 병원 정보보안의 중요성에 대해 들었다.


왜 해커들은 병원까지 공격 대상으로 삼을까? HISA 박종환 회장은 “이러한 현상은 글로벌 추세”라며, “의료 분야 해킹 공격 증가 이유는 재활용이 가능한 디지털 데이터가 많기 때문”이라고 설명했다. 빅데이터, AI로 인해 데이터 가치가 급상승했고, 병원이 공격을 받으면 사람의 생명과도 직결되기 때문에 해커의 요구에 신속하게 응할 가능성이 높다는 것이 주된 이유다.

병원 데이터는 2차 피해를 당하기도 쉽다. 예를 들어 성형외과를 해킹한 후, 사진 당사자에게 연락해 성형사진을 공개하겠다며 금전을 갈취하는 등 의료 데이터는 큰 돈을 요구할 수 있을 만큼 가치가 높다.

병원정보보호협의회 설립으로 병원 보안인력들의 견고한 네트워크 구축
박종환 회장은 “병원에는 상대적으로 보안인력이 적었지만, 개인정보보호법 발효 이후에 병원 보안에 대한 관심이 늘어났다”며, ‘병원 보안’ 네트워크는 전무한 상황에서 ‘우리도 모이자’라며 협의회를 만들었다”고 창립 배경을 설명했다.

이에 따라 2018년 6월 병원정보보안협의회 발대식이 진행됐다. 1대 회장은 서울아산병원 경우호 정보보호 유닛 매니저가 맡았다. 이후 2019년 7월 2대 회장으로 박종환 회장이 선출됐다.

박종환 회장은 “2기 협의회를 시작하면서 큰 병원을 중심으로 60여개 병원이 함께 하고 있다"며, “그간 병원 보안담당자들 간 소통 창구와 교류가 없었는데, 단체 채팅방을 만들어 소통을 시작하고, 매년 춘계·추계 학술대회도 진행하게 됐다”고 말했다.

5월에 열린 춘계 학술대회에서는 병원 관계자 수백명이 모여 병원 보안 BP(Best-Practice) 사례 공유와 솔루션 설명이 있었다는 것. 또한, 병원 보안교육 자료 공유, ‘카드뉴스’ 격월 제공, 개인정보 보호법 및 시행령 개정 내용도 공부하며 협업과 소통을 이어가고 있다.

HISA 발족은 보안의 역할 강화와도 맞닿아 있다. 예전의 보안이 IT 일부였다면, 이제는 대기업이나 대형병원의 경우 CISO(정보보호최고책임자)의 겸직도 금지됐다.더욱이 병원은 CISO뿐만 아니라 의료인, 행정직 등 모두가 개인정보 취급자이기에 개인정보보호 교육과 함께 전 직원의 정보보안 의식 함양이 중요하다.

개인정보보호와 관련한 교육도 법적 필수 교육이다. 이에 HISA는 회원들에게 신규 직원은 오리엔테이션을 통한 보안교육이 필수라고 강조한다며, 병원은 의사, 간호사, 방사선사 외에도 수많은 전문직종이 있어 각각의 역할에 맞는 보안교육을 권고하고 있다.


의료 분야 정보보안 10대 키워드 선정해 집중 지원
HISA는 의료 분야 보안 관련 키워드를 선정해 집중 지원하자는 의도에서 회원 공모와 최신 트렌드를 반영해 올해 처음으로 ‘정보보안 10대 키워드’를 선정했다.

먼저 ‘업무연속성’은 병원에서의 해킹 등 보안사고는 피해가 큰 의료사고로 이어져 지속가능한 계획이 필요하다는 점을, ‘의료 마이데이터 보안’은 데이터의 안전한 전송 및 관리의 중요성을, ‘스마트 의료기기 IoT 보안’은 의료기기는 OS 변경 등이 어려워 우회 해킹이 가능하기 때문에 양질의 보안장비 도입과 관리 방법을 강조했다.

또한, ‘수술실 CCTV 보안’은 수술실 CCTV 보안 법제화 이후 수술실 내 CCTV 영상의 효율적인 보안 및 접근 권한 재분배에 대해, ‘보건의료데이터 가명처리’는 환자의 개인정보 사용 시 사용 동의가 필요한데, 이에 따른 가명처리 기준과 심사위원 구성, 사용 적법 여부 논의를, ‘클라우드 의료정보시스템 보안’은 대형병원이 도입한 클라우드 시스템의 침해대응 노하우를 담았다.

이와 함께 ‘제로트러스트’, ‘타깃형 랜섬웨어’, ‘의무기록 무단 열람방지 프로세스’, 그리고 ‘의료기관 정보보호 공시’를 10대 키워드로 선정해 회원들끼리 공유하고, 관련 정보를 습득하기 위해 노력하고 있다.

의료기관 보안 강화를 위한 또 다른 핵심은 바로 의료 ISAC의 활성화다. 박종환 회장은 “병원 보안담당자는 보안 투자를 강조하지만, 병원 운영진에 그 비용을 설득할 근거가 부족하다”며 “보안이 우수한 병원에 의료기관 평가 가점 등의 보상이 따라야 의료 ISAC도 활성화될 수 있다”고 강조했다. 이어 박 회장은 “최근에는 많은 병원들이 스마트병원으로의 업그레이드를 위해 첨단 시스템 개발이 진행 중인데, 이에 따른 취약점 점검도 매우 중요하다”고 덧붙였다.

HISA는 현재 대한병원정보협회 산하에서 활동하고 있다. 하지만 HISA는 더욱 강력해지는 사이버 공격에 보다 효율적으로 맞서기 위해 협회로 한 단계 도약하기 위한 마지막 과정을 준비하고 있다. 새롭게 닻을 올리는 협회와 함께 조직 재정비도 진행할 예정이다.

“병원 내 보안전문가는 적지만 할 일은 많습니다. 앞으로 협회로 확대되면 병원 보안인력의 업무 효율성을 올리기 위해 정책과 규정을 공유할 계획입니다. 또한, 정부기관과 함께 의료 ISAC 가입 확대를 위한 소통 채널이 되겠습니다. 이와 함께 대한병원협회와 공동으로 연 1회 개인정보 자율점검병원의 자율 보안점검을 진행함으로써 상급병원부터 중소병원까지 실질적인 도움을 줄 수 있도록 하겠습니다.”

박종환 회장은 “병원 보안은 환자 생명을 지키고, 시스템 운영과 가용성 유지를 위한 기본”이라며, “병원에서의 보안은 보안담당자는 물론 의사, 간호사, 행정직 모두 내가 마지막 ‘보안책임자’라는 사명감으로 일해야 한다”는 말로 인터뷰를 마쳤다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>