보안업계, 이익창출 중요하지만 첫 단추 잘 꿰게 돕는 것도 중요

복지부 등 정부부처는 의료계 지원 및 정책 등의 뒷받침 잘 해줘야

지난 16일, 보건복지가족부는 의료기관의 정보보호 강화를 위해 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’ 최종안을 발표·보급했다. 이에 따라 향후 이 가이드라인에 해당하는 500병상 이상 의료기관들은 물론 의료기관 전체에도 정보보안에 대한 인식이 전보다는 커질 것으로 전망된다. 특히 그에 따라 정보보호 시장에 있어서도 새로운 시장이 형성돼 그에 대한 관심이 집중된다. 이에 이번 기획기사를 통해서는 이번 복지부의 ‘의료기관 개인정보보호 가이드라인’에 따른 사회적 파급은 물론 그에 따른 정보보호 업계의 분주해질 움직임에 대해 살펴보도록 한다.

<순서>

1. ‘의료기관 개인정보보호 가이드라인’, 공개·배포 임박

2. 대한병원협회의 입장

3. 보건복지가족부의 입장

4. ‘의료기관 개인정보보호 가이드라인’, 의료보안시장 얼마나 활성화될까!

모 대형병원의 정보보호담당자인 A팀장은 최근 연이어 발생하는 개인정보유출사건들을 보면서 우리 병원도 예외일 수는 없다는 생각에 병원장에게 미연에 그러한 사고를 발생할 것을 대비해 기술적·물리적·관리적인 보호조치를 해야 한다는 계획안을 제출했다. 하지만 병원장은 “왜 발생하지도 않은 일에 대해 미리부터 겁을 먹고 병원 경영과 관련해 도움도 되지 않는 비용을 보안에 투자하냐”며 일시에 거절했다. 이에 A팀장은 지속적으로 보안의 중요성을 언급하고, 설명했지만 마찬가지였다.

이러한 예는 물론 병원만에 국한되는 것은 아니다. 병원을 비롯한 국내 기업들 대부분의 현실일 것이다. 그런 점에서 앞으로 위 모 대형병원의 A팀장은 이제 보안의 중요성을 설명하며, 언제 발생할지 모를 개인정보유출사건에 대비해야 한다고 병원장이나 병원 임원진들에게 목이 터져라 설명할 필요가 없게 됐다. 법적인 구속력은 없지만 병원 등 의료기관의 담당부처인 복지부에서 정보보안과 관련한 컴플라이언스로 충분한 영향력을 가진 ‘의료기관 개인정보보호 가이드라인’을 마련했기 때문이다.

복지부의 ‘의료기관 개인정보보호 가이드라인’은 의료기관의 개인정보 처리업무에 필요한 기준을 제공하는 한편 국민의 권리를 보호함을 목적으로 의료기관이 환자를 진료하는 과정에서 얻은 개인정보는 적절한 절차를 통해 보호 및 보안돼야 한다는 원칙 등을 해당 병원들에 권고 한 것.

이에 전일성 에이쓰리시큐리티 컨설팅사업본부 이사는 “복지부의 이번 가이드라인은 일반적인 개인정보와는 다른 특수한 의료정보에 대한 기준점을 제시했다는 점에서 환영할 만하다”며 “제도라는 것이 없었을 때가 문제지 만들어졌을 때는 공공기관, 업계, 학계 등의 참여자들의 의견을 수렴해 문제를 개선해 움직여 가면 된다는 점에서 이번 가이드라인이 나왔다는 점은 시사하는 바가 크다고 생각한다”고 말했다.

또한 전일성 이사는 “특히 이 가이드라인이 보안이라는 테두리 안에서는 의료계 뿐만 아니라 보안시장에서도 긍정적으로 작용할 것이란 점에서도 주목된다”며 “다만 세부적인 내용이 어떻게 진행이 되고 그 실효를 낼지가 앞으로의 관건일 것”이라고 밝혔다.

즉 이번 가이드라인은 이전까지만 하더라도 “왜 보안을 해야 하는데?”란 물음에 “이제는 그러한 컴플라이언스가 있기 때문에 해야 하는 것”이 된 만큼 의료계에 있어서도 정보보호를 강화하자는 움직임이 크게 작용하게 될 것이란 것.

흩어지고 분산된 의료정보 자산에 대한 목록화...어렵지만 중요

‘의료기관 개인정보보호 가이드라인’ 개인정보 보호 및 보안에 관한 관리적 지침에서는 ‘정보자산관리’에서는 무엇보다 ▲정보자산의 목록화 ▲정보자산의 관리자 지정 ▲정보자산의 보안 등급 평가 ▲개인정보 취급의 특정 등의 조치를 취할 것을 설명하고 있다.

이에 이정원 소만사 과장은 “흩어진 의료정보들을 파악하지 못하고 있는 실정에서 이 정보자산들을 목록화하는 것이 중요하다”고 말했다. 즉 의사나 간호사 등이 사용하는 PC에는 수많은 의료정보들이 산재해 있을 것인데, 이렇게 흩어져 있는 의료정보들을 취합해 목록화하는 것이 기존에는 정보담당자가 명확히 어떻게 취해야 할지 몰랐다는 점에서 이를 이번 가이드라인이 그 기준을 제시해 준 것이란 설명이다.

특수 의료정보 유출 대안의 병원의 폐쇄망...공유 시 방화벽 적용 등 필요

또한 이번 가이드라인에서는 네트워크 관리는 접근이 허가된 네트워크 및 네트워크 서비스에 대해서는 외부망과 의료기관 내부의 네트워크 연결은 방화벽 적용 등을 통해 외부로부터 안전하게 통제돼야 한다는 등을 제시하고 있다.

이와 관련 김은진 유넷시스템 부장은 “치료 및 과거 병력 등의 특수하고 민감한 정보에 대해 이것이 유출됐을 시 파급은 일반 개인정보유출에 비해 큰 만큼 네트워크 관리에 있어서 병원들은 현재까지 정보공유에 대해서도 폐쇄적일 수밖에 없었다”고 말하고 “하지만 이번 가이드라인을 위시해 이후 의료보안 시장에도 변화가 있을 것이다. 현재로써는 명확한 움직임은 나타나지 않을 것으로 보임으로 좀더 지켜봐야 할 것”이라고 밝혔다.

엔드포인트단 PC 부착된 부분 통제할 수 있는 매체제어 중요

복지부는 이번 가이드라인에서 백업 및 저장매체 관리 측면에서 USB, 외장형 하드디스크, CD-ROM, 테이프 등 휴대용 저장 매체에 관리 절차가 수립돼야 한다고 제시하고 있다.

이에 함재춘 닉스테크 부장은 “특히 엔드포인트단의 PC 부착된 부분에 대한 통제를 할 수 있는 매체제어의 부분도 중요하며, 이 부분에 대한 통제 외에도 의료정보를 취급하도록 인가받은 자만이 정보를 취급하는 부분도 마찬가지인 만큼 이러한 정보유출을 방지하기 위한 취약점 분석 등은 물론 노트북반출보안, 출력물 보안 등도 포함돼 있다”고 설명하고 “이 가이드라인이 나왔다고 바로 구축을 검토하지는 않겠지만 점진적으로 대형병원들이 우선적으로 검토할 것으로 생각되며, 향후에는 중·소형병원들도 구축해 정보유출 의료보안 시장이 형성될 것”이라고 말했다.

좁은 의미로 해석하지 말고 넓은 의미의 보안관제 이루어져야

마지막으로 이번 가이드라인에서는 각종 사이버 공격으로부터의 안전성 확보를 위해 소통자료의 악성코드 감염여부, 홈페이지 등 공격서버의 보안취약성을 수시로 점검하고 자료의 위변조, 훼손여부를 확인해야 한다는 등의 보안관제 부분에 대한 내용을 상세하고 있다.

이에 조창섭 이글루시큐리티 상무는 “보안관제 조직이 꾸려지면 지금까지 관리 되지 않았던 의료정보를 체계화한다는 측면에서 다만 의료기관들이 협의의 보안관제가 아닌 넓은 의미의 보안관제가 돼야 할 것”이라고 말했다.

위 내용 외에도 이번 가이드라인은 개인정보 보호 및 보안에 관한 물리적·기술적 지침을 통해 ▲개인정보 보호구역(출입 통제) ▲정보시스템 운영 및 보안 관리(패스워드 관리, 로그온 절차, 악성코드 통제 등) ▲정보 유출 방지 ▲사용자 인증 및 접근권한 관리 ▲침해사고 예방 및 대응 ▲진료정보 등의 교환 지침 ▲암호화 통제  등의 내용들을 기술하고 있다.

이에 이인행 나우콤 상무는 “경찰청 범죄기록이 여러 가지 제도적 장치를 통해 통제되듯 개인의 병력이 쉽게 노출되지 않도록 하는 조치를 담은 이번 가이드라인은 필요로 한 사항이었고, 가이드라인대로 지켜지면 정보보호업계 골고루 시장 확대에 영향이 미칠 것은 당연하다고 본다”며 “추가로 500인병상 미만의 소형 병원 및 개인병원과 의원급 병원들의 기록도 통합적으로 관리 및 보호될 수 있도록 하는 조치까지 마련된다면 의료기관 정보보호가 이루어졌다고 할 수 있을 것”이라고 말했다.

또한 이번 복지부 ‘의료기관 개인정보보호 가이드라인’을 만들기 위해 구성된 협의체에서 보안업체 대표로 참여한 안철수연구소의 윤삼수 부장은 “특수한 의료정보를 가진 의료기관은 기존 망법이나 공공기관 개인정보보호법의 일반법을 준용해 와 어려움이 있었던 반면 이번에 복지부가 실제 적용할 수 있는 가이드를 만들었다. 지금 현재로는 100%를 만족할 수는 없겠지만 의료기관 정보보안 측면에서는 긍정적인 역할을 할 수 있을 것으로 생각된다”며 “특히 보호(Privacy)와 보안(Security) 양측을 모두 수용하고 있는 이번 가이드라인은 보안에 대한 일반론적인 부분으로 보았을 때, 복지부는 기술적·물리적인 보호조치를 현재까지도 너무 하지 않은 병원들에 대해 그래도 어느 정도는 해라라는 입장을 반영한 것 같다”고 말했다.

이상에서 살펴본 바와 같이 보안업계는 이번 복지부의 의료기관 개인정보보호 가이드라인에 대해 긍정적이며, 지금까지 철옹성처럼 높기만 했던 의료계에도 보안 시장이 열렸다는 반응을 보이고 있다. 하지만 가장 중요한 것은 의료계가 이와 관련해 현실적이지 못하다고 지적한, 즉 정보보호시스템 구축 등의 기술적·물리적인 조치에 소요되는 비용·예산 문제가 있다. 그런 점에서 병원 등의 의료기관들이 자발적인 정보보안 의식을 갖고 진심으로 국민의 권리를 지킬 수 있도록 복지부 등의 정부부처들의 뒷받침이 필요할 것이다. 그리고 무엇보다 이번 기회가 보안업계의 호재로 작용할 것이라는 분위기만을 쫓아 의료기관의 진정한 관리·기술·물리적 보호조치를 취하도록 돕는 것이 아닌 자사의 이익만을 쫓아서는 안 될 것이다.

한편 이번 500병상 이상 의료기관을 대상으로 한 ‘의료기관 개인정보보호 가이드라인’은 복지부가 이미 2008년 추진해 최근에 공개한 ‘건강정보보호 지침 보고서(건강정보보호 및 보안 세부 지침)’에서 비롯됐다. 특히 지난해 9월 의료기관 정보보호가이드라인 수립 연구용역 사업을 통해 진행한 결과물에는 500병상 이하에 대한 결과물이 포함돼 있으며, 이후 협의체를 통해서는 500병상 이상에 대한 가이드라인을 논의해 이번에 발표한 것이다. 즉 500병상 이하 의료기관에 대한 가이드라인에 대해서도 협의체를 구성하고 그에 대한 의견 수렴을 거친다면 그리 먼 시일이 아니라도 배포될 수 있을 것으로 전망된다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>