| [의료정보보안④] 의료기관 보안시스템 “남겨진 숙제는?” | 2009.06.15 | |
1. EMR 도입과 맞물려 제기되는 보안이슈
2. 의료기관 개인정보보호 관리 강화된다 3. 보안 체계 강화 위해 ISO27001 인증 도입 가속화 4. 의료기관 보안시스템 “남겨진 숙제는?”
일단 병원 내 정보시스템이 모두 아웃소싱으로 진행되고 있고 IT담당자가 따로 없는 경우도 많아 수시로 나타나는 보안 문제에 대해 즉각적인 대응이 쉽지 않다는 것은 꼭 해결해야할 문제다.
일단 병원의 정보시스템 운영을 위한 전담팀을 구성하는 것은 대형 병원 외에 자본과 인력 등의 문제로 쉽게 해결할 수 없는 문제지만 최소한 보안문제에 대해 즉각적인 결정권을 가진 CSO를 임명은 각 의료기관의 노력에 따라 충분히 해결할 수 있을 것으로 보인다. CSO의 선임으로 내부 보안 정책과 보안 시스템 로드맵 수립 등 체계적인 보안 관리가 가능하기 때문에 보안시스템의 효율성을 높일 수 있다. 정보보호예산 확보는 당장은 쉽지 않은 일이지만 의료정보의 중요성과 정보보호 사고가 발생한 후 책임지고 부담해야할 비용을 감안했을 때 점차 늘려갈 수밖에 없을 것이라고 전문가들은 이야기한다. 하지만 아직까지 의료기관들은 IT예산도 충분한 수준으로 확보되지 않은 상황이기 때문에 정보보호 예산을 늘리는 데는 시간이 걸릴 것으로 보인다. EMR시스템 간 호환성 문제도 보안 취약성을 나타낼 수 있는 큰 문제점 중에 하나다. 국내에는 아직 EMR 시스템의 표준이 없어 각 의료기관 마다 다른 시스템을 이용하고 있는 실정이다. 이에 따라 향후 의료정보의 효율성을 위해 EMR 시스템 간 연동시스템을 만들시 여러 가지 보안취약점이 나타날 수 있다는 것이 전문가들의 진단이다. 아울러 개인정보의 이용범위와 소유권에 대한 문제도 효율적인 개인정보 보안 체계를 위협하는 원인이 되고 있다. 오는 7월부터 대부분 의료기관들은 정보통신망법에 의해 개인정보를 취급해야하는 가운데 의료 개인정보의 특수성을 고려하지 않은 상태로 법이 시행되기 때문에 여러 가지 진통이 예상된다. 의료 개인정보는 의료정보취급기관, 보험자, 고용주, 법집행 기관등의 다양한 이용자에 의해 접근되는 민감한 정보이다. 개인의 사생활 측면에서 본다면 개인의 가족사항, 유전적 특징, 병력, 약물 중독 내용, 성병 등이나 개인의 신분관계, 재산 관계, 가족관계, 사회생활, 성생활, 성품, 습관 등 정보유출로 인한 피해가 매우 큰 정보이다. 아울러 이런 정보들이 고의 또는 과실로 잘못입력 됐거나 임의로 변조된 경우 환자 진료 행위에 중대한 차질을 초래할 수 있다. 문제는 정보통신망법에 따르면 환자 스스로 개인정보에 대한 수정권한이 있기 때문에 환자가 불리하거나 잘못된 정보수정으로 인해 의료 사고나 마찰이 나타날 수 있다는 것. 아울러 수정을 원하는 환자의 정보 수정을 위해 EMR 시스템의 접근 권한에 따른 보안 관리도 여러 어려움이 나타날 수 있다. 서울대 의과대학 배재봉 교수는 “의료 개인정보는 일반적인 개인정보뿐만 아니라 전문가의 소견 등 생성된 개인정보이기 때문에 특수성이 존재한다”면서 “외국의 경우 특수법이나 지침을 통해 의료개인정보가 보호되고 있지만 우리나라의 경우 일반 정보통신사업자들과 동일한 보호가 이뤄지기 때문에 여러 문제가 나타날 수 있다”고 말했다. 이어 그는 “의료법, 의료정보법 등 여러 법들이 정리되지 않고 있는 가운데 정보통신망법의 적용은 특수성이 감안되지 않아 여러 진통이 예상된다”며 “의료정보가 매우 중요한 정보를 가지고 있고 이를 이용하는 것도 특수성을 가진 만큼 이를 고려한 가이드라인이라도 만들어야한다”고 역설했다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
