• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[의료보안-ⓛ] 의료분야, 개인정보보호 수준 여전히 제자리! 2010.06.21

500병상 이상 국립서울병원·국립의료원, 개인정보보호 ‘불량’

보건복지부는 지난 3월, 500병상 이상 의료기관을 대상으로 한 ‘의료기관 개인정보보호 가이드라인’을 발표·보급한 바 있다. 이제 불과 3달 남짓 지난 시점이긴 하지만 그에 따라 의료계는 분명 이전과는 다른 변화가 있었을 것이다. 또한 3달여의 시간 동안 복지부 역시 ‘의료기관 개인정보보호 가이드라인’ 발표 이후 의료기관의 의료정보 보호를 위한 후속 조치들을 취했을 것이다. 이에 이번 기획기사를 통해서는 복지부가 ‘의료기관 개인정보보호 가이드라인’을 발표한 이후 의료기관과 소속부처인 복지부의 후속 조치들, 그리고 보안산업계 입장에서 어떠한 변화들이 있었는지를 살펴보도록 한다. 이를 위해 이번 기획기사-ⓛ에서는 복지부 소속기관 및 산하기관 등 19개 기관을 대상으로 한 ‘개인정보보호 실태점검’ 결과를 살펴보고, 이 실태점검 결과를 통해 현 의료계의 개인정보보호 수준을 가늠해보도록 한다.


<순서>

① 복지부 ‘의료기관 개인정보보호 가이드라인’ 발표 그 이후

② [인터뷰] 보안전문가가 바라본 의료보안

③ [인터뷰] 보안업체 관계자가 바라본 의료보안과 의료보안시장

④ [인터뷰] 의료기관 정보보호담당자

⑤ 향후 국내 의료정보 및 개인정보 보호 방향


◇ 의료분야, 개인정보보호 수준 여전히 제자리 걸음

손숙미 한나라당 국회의원이 보건복지부로부터 제출받은 ‘2009년 개인정보보호 실태점검 결과보고서(2010.4)’에 따르면, 19개 대상기관 중 국민건강보험공단과 건강보험심사평가원 이상 2곳만이 ‘우수(91점 이상)’를 받았을 뿐 도리어 2008년도보다 개인정보보호가 오히려 후퇴하는 결과까지 나타난 것으로 드러났다.


개인정보보호 실태점검은 ‘공공기관의 개인정보보호에 관한 법률’에 따라, 사용자 PC의 개인정보 보유여부 및 개인정보 DB 접근이력 분석 등을 통해 개인정보 오·남용 실태를 점검하고 개인정보보호에 대한 인식을 제고하고자 매년 실시해 오고 있다. 이번 2009년도 개인정보보호 실태점검은 지난해 11월9일부터 2010년 3월8일까지 4개월에 걸쳐 복지부 본부 주요시스템과 소속기관 및 산하기관 등 총 19개 기관(시스템)에 대해 실시한 결과이다.


복지부 본부 5개 시스템과 개인정보보호기본지침에 따라 구분된 ‘가’급 5개 기관, ‘나’급 9개 기관이 점검대상기관이었으며, 이중 국립장기이식관리센터는 2008년에 ‘불량’에 이어 ‘미흡’ 판정을 받았고, 이번에 처음으로 점검을 받은 국립서울병원(50점)과 대한결핵협회(56점), 국립의료원(56점)은 개인정보보호 ‘불량’ 판정을, 국립암센터(69점), 한국보건산업진흥원(68점), 보건복지인력개발원(61점)은 ‘미흡’ 판정을 받았다.

 

 

또한 복지부의 복지정책DB는 2008년도에는 ‘양호’ 판정을 받았으나, 2009년도에는 ‘보통’으로 개인정보보호가 오히려 후퇴했다는 판정을 받기도 했다.


이번 점검대상기관의 업무용PC 일부를 점검한 결과, 총 433대 중 17.6%에 해당하는 76대에서 비밀번호 설정 등의 보안관리가 되지 않은 개인정보파일이 발견됐다. 특히 본부시스템의 경우 사회복지시설정보시스템의 62.5%, 복지정책DB의 50%에서 개인정보파일이 발견됐고, 보건복지인력개발원의 경우 10대 중 8대에서 개인정보파일이 발견돼 개인정보보호에 대한 인식이 부족한 것으로 나타났다.


아울러 개인정보보호방침 고지나 메신저 등 온라인 유출경로 통제, USB 등 이동형 저장매체 통제, 외부업체 보안관리 등이 미흡한 것으로 조사됐고, 개인정보 입출력자료 보안관리나 CCTV 운영관리, 개인정보 전송과 저장시 암호화, 출력물의 프린트마킹 표시 등이 미흡한 것으로 조사돼 기본적인 개인정보 관리가 되지 않은 것으로 나타났다.


◇ 500병상 이상 3개 의료기관, 개인정보보호 수준 ‘불량’하거나 ‘미흡’해

이번 2009년도 개인정보보호 실태점검은 최근인 올해 3월까지의 점검결과로, 복지부 소속 공공의료기관을 대상으로 한 것이다. 특히 여기서 주목되는 것은 올해 처음으로 개인정보보호 실태점검을 받은 ‘나’급 기관에 해당하는 ‘국립의료원’, ‘국립서울병원’, ‘국립암센터’ 이상 3개 기관이다.


이들 3개 기관은 모두 복지부가 올해 3월에 발표한 ‘의료기관 개인정보보호 가이드라인’에 해당하는 500병상 이상의 의료기관이기 때문.


이들 의료기관들은 각각 올해 실태점검 결과 56점, 50점, 69점을 받아 국립의료원과 국립서울병원은 ‘불량’ 판정을 국립암센터는 ‘미흡’ 판정을 받았다.


또한 이들 점검대상 기관 중 국립장기이식관리센터는 2008년도에 60점으로 ‘불량’ 판정을 받아 그해 복지부 소속기관 중 최악의 성적을 받았음에도 불구하고 2009년도 실태점검에서도 66.9점을 받아 불량 판정은 면했지만 여전히 ‘미흡’한 것으로 나타나 2009년도 처음으로 점검을 받은 기관들을 제외하고는 여전히 최악의 성적을 기록했다.


이에 복지부 한 관계자는 “복지부 소속기관 보다는 산하기관의 개인정보보호 조치가 미흡한 것으로 나타났다”며 “이는 기관별로 중요도에 따라 정보보호 예산이 측정되는 만큼 산하기관들이 실태점검 결과가 낮게 나온 것”이라고 설명했다.


또한 이와 관련 한 보안전문가는 “이번 실태점검 결과는 여전히 의료계가 개인정보의 사각지대임을 여실히 보여준 것”이라며 “소속기관들의 보안수준이 높다하더라도 산하기관의 형편없는 보안수준은 결국 이들 전체기관의 보안수준의 평균은 산하기관의 낮은 보안수준으로 봐야 하는 만큼 이에 대한 조치가 시급하다”고 지적했다.


한편 손숙미 의원은 “의료와 복지부분의 개인정보는 정보의 특성상 그 보호와 관리가 매우 중요함에도 불구하고 관리자의 인식과 보호시스템이 미미한 수준”이라고 지적하고 “특히 2008년도 개인정보보호 실태점검 결과 조치사항 중 이행이 완료된 것은 160건 중 110건에 불과한 것도 큰 문제”라고 강조해 지적했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>