[인터뷰] 홍명렬 아주대학교의료원 정보관리팀 팀장

“보안조치 관련 문의할 수 있는 창구(컨설팅) 필요”

환자의 기본정보와 처방, 검사기록 정보를 관리하는 처방전달시스템(OCS)이 사용 된지는 십년 이상 되었지만 진료기록 또는 간호기록 등을 전산화한 전자의무기록 시스템이 사용되기 시작한 것은 불과 수년 밖에 되지 않았다. 그러다 보니 병원 등 의료계에서의 정보보안에 대한 보안산업계의 움직임이 조금은 둔감했던 것이 사실이다. 하지만 최근 정보보안에 대한 이슈가 사회전반에 걸쳐 형성되면서 의료계에서도 정보보안에 대한 관심이 집중되고 있다. 특히 지난 3월 보건복지부가 500병상 이상의 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’을 발표하면서 의료보안시장이 보안업계의 신시장으로 부상하고 있다. 또한 이러한 의료보안시장은 향후 500병상 이하인 소규모 의료기관 등에까지 확대될 전망이다. 이에 실제 의료기관의 정보보안 업무를 담당하고 있는 아주대학교의료원의 홍명렬 정보관리팀장을 직접 만나 병원 입장에서의 ‘의료기관 개인정보보호 가이드라인’에 대한 의견과 향후 의료보안에 대한 그의 생각을 들어봤다.

<순서>

① 복지부 ‘의료기관 개인정보보호 가이드라인’ 발표 그 이후

② [인터뷰] 보안전문가가 바라본 의료보안

③ [인터뷰] 보안업체 관계자가 바라본 의료보안과 의료보안시장

④ [인터뷰] 의료기관 정보보호담당자

⑤ 향후 국내 의료정보 및 개인정보 보호 방향

- 병원에서의 보안업무를 담당하면서 어려운 점으로 인식된 점은?

보안업무는 업무의 편리성과 보안 규제 사이에서 합리적인 틀로 적정성을 지켜야 한다는 점에서 어려움을 느낀다.

병원의 경우, 데이터 암호화와 응답속도, 개인정보보호와 의료발전을 위한 임상 연구 등을 예로 들 수 있는데, 보안 업무를 위해 필수적인 보안 솔루션 도입을 위한 경제적 지출 문제는 가장 현실적이고도 어려운 부분이라 하겠다.

즉 합리적인 틀에서의 적정성이 문제인데, 침입탐지, 암호화 등 보안솔루션 도입 등 장비 도입시 ‘어디까지’ 또한 ‘어떻게’ 등의 문제에 부딪히게 된다. 또한 이때 중복기술의 배제가 필요한데 이를 어떻게 적정하게 할 것인가는 앞으로 지속적인 어려움으로 남을 것이다.

- 의료정보를 활용하는 의사 및 간호사들의 정보보안에 대한 인식정도는?

최근에는 많이 좋아진 것이 사실이다. 정보보안은 현재 일반적인 사회상이고, 인터넷 정보보안 사고 등에 대한 매스컴의 보도로 인해 보안의식이 높아졌기 때문이다.

하지만 보안인식이 상대적으로 올라갔으나, 현실적으로 일을 하는 과정에서는 불편해 하는 부분이 있는 것 역시 사실이다. “이런 정보를 왜 내가 못 보게 되어 있는가?”는 등의 현실에서의 괴리는 여전히 발생하고 있지만 그것은 앞으로 풀어가야 할 숙제일 것이다.

그리고 불법 소프트웨어 사용 부분도 많이 좋아졌다. 보안 문제가 생기면 책임이 따라간다는 것을 인지하고 반드시 필요한 투자는 하고 있기 때문이다.

점차적으로 사회상황, 원내 교육, 문제발생 시 해당과에 피드백을 주니 많은 부분에 있어 보안에 대한 인식이 높아졌으며, 새로운 보안시스템을 도입하고, 그에 대한 보안지침 교육 등은 이제 병원에서도 자연스러운 일이 됐다.

-‘의료기관 개인정보보호 가이드라인’에 대한 병원 보안담당자로서의 의견?

우선 의료기관의 특수성을 고려할 때, 공공기관이나 일반 회사보다는 좀 더 엄격하게 환자의 개인정보보호를 위해 정보보안을 실시해야 한다는 필요성의 인식에 대해서는 보안담당자로서는 같은 생각이다.

하지만 열악한 의료기관의 경영상황을 감안할 때 이 개인정보보호 가이드라인은 그러한 경제상황이 고려되지 못한 아쉬움이 있다.

예를 들어, 본 가이드라인은 500병상 이상 의료기관에 대해서는 반드시 개인정보보호 실무책임자와 보안실무책임자를 전임자(정규직)로 지정해 주된 업무를 해야한다고 하고 있다. 물론 500병상 이상 1000병상 이하의 경우에는 전임자로 임명하되 둘의 겸임을 인정하지만 1000병상 이상 의료기관은 각각 전임자로 2인을 두도록 하고 있는데, 이 둘을 나눌 필요가 있는가에 대한 의문이 든다.

즉 책임자를 두 명 두는 것은 IT서비스를 외주로 하는 경우는 의미가 있을 수 있지만 그렇지 않다면 인력증원이 필요하기 때문이다. 또한 이 둘의 역할 분장이 애매해 질 수 있다고 생각된다.

덧붙여 개인정보보호 안전진단 수행 기관에서 2년에 1회 외부 안전진단을 시행해야 한다는 부분은 현실적으로 투자재원 확보에 어려움이 큰 사안이라 생각된다.

특히 가이드라인이다 보니 이것을 어떻게, 어디까지, 언제 준수해야 하는지에 대한 판단하는데 어려움이 있다.

- 앞서 언급한 가이드라인의 판단이 어려운 부분이란 무엇인가?

의료기관 개인정보보호 가이드라인이 제시하는 구체적인 표현이 도움이 될 수도 있다. 복지부에서 발표한 만큼 관련 보안 준수 사항을 병원이 지켜야 한다는 부분에 있어서 기관장을 설득하는 데에 도움을 받을 수 있기 때문이다.

하지만 인력/장비 문제 등 투자가 필요한 부분에서는 어려움이 발생하게 된다. 더구나 확정 법안이 아닌 가이드라인이다 보니 실무에서는 혼란이 있는 것이 사실이다. 반드시 준수를 해야 한다면 투자를 하는 것이 필요하겠지만 가이드라인이다 보니 의사결정에 어려움이 있다.

특히 병원이라는 특수한 환경에서는 편리성이 떨어지는 부분이 있다보니 그 절충안을 만드는 게 담당자 입장으로서는 쉽지가 않다. 전산실에서만 정할 수 있는 것도 아니고, 실제 전산실에서 그러한 정보보호를 위한 관리체계를 만들었다고 하더라도 정보를 활용하는 의사나 간호사들 입장에서는 정보조회 제한 등의 간단한 문제에서도 괴리감이 나타날 수 있다.

또한 실제로 암호화, 침입탐지 등의 부분은 보편적인 기술이 없는 것이 현실이다.

-의료정보를 활용하는 의사·간호사들에게 적용하는데 가장 어려운 점은?

대부분의 병원들은 이 가이드라인이 제시하고 있는 수준을 맞추기 위해선 신규 비용 투자가 발생한다. 도의상으로야 정보보호를 잘해야 하는 것은 알겠지만 비용에 대한 보상이 받쳐주지 않는다는 것은 문제다.

이 가이드라인에서 제시하는 모니터링과 관련된 제품은 천만원 상당의 제품이 있을 수 있고, 억 단위 수준의 제품이 있을 수 있는데 주관적으로 판단하게 된다면, 당연히 좀더 저렴한 제품을 도입하게 될 것이다. 이는 진정한 정보보안을 위한 것은 아니라 생각된다.

- 그렇다면 이 가이드라인을 발표한 복지부에게 바라는 바가 있다면?

무엇보다도 의견 수렴이 필요하다고 생각한다. 복지부 내에서 하든 위임을 하든 공공 성격을 갖는 조직을 갖고, 관련 문의를 할 수 있는 창구(컨설팅 등)가 있었으면 좋겠다. 그 필요성을 강조하는 것은 앞서서 말한 바와 같이 자의적으로 해석하는 것은 정보보안을 위한 것이 아니기 때문이다.

병원 보안담당자로서 이 가이드라인이 제시하고 있는 보안조치들을 어떻게 해야하는 지를 물어볼 수 있는 창구가 있었으면 하는 것이다. 특히 보안조치를 위한 추가적인 비용이 들어간다면 지원 내지 인센티브 적용이 있었으면 좋겠다.

- 마지막으로 덧붙여 주실 말씀?

병원 등 의료계에 있어서도 정보보안에 대한 인식은 분명히 높아졌으며 실행 방안에 대한 관심도 올라가고 있다. 이번 가이드라인은 정보사회에서 국민의 권리보호를 위하여 의료기관에서의 정보보안을 효과적으로 실행할 수 있도록 하는 촉매 역할을 할 것으로 기대하며 의료기관의 수준에 따른 차등 가이드에 대해서도 생각해 볼 필요가 있을 것이다.

정보보안이란 것은 자동차에 있어서 ABS브레이크에 해당한다고 생각해 볼 수 있다. ABS는 대형차에는 기본이지만 중·소형차는 옵션이다. 정보보안을 왜 하는냐는 질문은 시대에 뒤떨어지는 물음이다. 필요한 것은 알지만 어떤 것을 취해야 하는가를 물어야 하는 시대인 것이다. 소형차와 대형차의 차이에 따라 들어가는 장비는 다를 수밖에 없다. 국내 모든 병원도 마찬가지로 여러 종류와 상황이 다를 것이므로 정보보안에 대한 의료기관들에 대한 의무사항은 너무 높은 수준의 것만이 아니라 가능한 적정선에서의 보호수준을 제시하는 것이 바람직할 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>