| [의료보안-⑤] 의료계에도 정보보안의 뿌리내려야 | 2010.07.20 | |
법적 구속력 보다는 복지부-병원 간 관계로 비롯된 문제...
향후 의료보안 발전 위해 지속적인 대화 등으로 풀어야
<순서> ① 복지부 ‘의료기관 개인정보보호 가이드라인’ 발표 그 이후 ② [인터뷰] 보안전문가가 바라본 의료보안 ③ [인터뷰] 보안업체 관계자가 바라본 의료보안과 의료보안시장 ④ [인터뷰] 의료기관 정보보호담당자 ⑤ 향후 국내 의료정보 및 개인정보 보호 방향 복지부의 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’에 대해 관계 병원 및 협회 등이 반발한 이유는 개인정보보호를 위한 물리적·관리적 측면에서 소요되는 경제적 지출 문제 때문이다. 물론 이러한 보안성 유지를 위한 필수적 보안 솔루션 도입과 관련한 경제적 지출 문제는 의료계뿐만이 아니라 사회 전분야에 걸쳐 맞닥뜨리게 되는 문제다. 이는 보안업계는 물론 정부 등이 함께 앞으로 풀어가야 할 숙제이기도 하다. 즉 기업들의 합리적인 틀에서의 적정성, 침입탐지, 암호화 등 보안솔루션 도입 등 장비 도입시 ‘어디까지’ 또한 ‘어떻게’ 등의 문제에 부딪히는 것과 마찬가지로 병원 등 의료기관들도 동일한 문제에 부딪히게 되며, 이를 어떻게 적정하게 할 것인가는 앞으로 병원 등 의료기관에 있어서도 지속적인 어려움으로 남을 것으로 보인다. ◇ 복지부 가이드라인, ‘어떻게’ ‘어디까지’ 준수해야 하는지 불명확해 그런 점에서 ‘의료기관 개인정보보호 가이드라인’은 장비 도입시 ‘어디까지’, ‘어떻게’ 등에 대해 명확한 제시를 하고 있을까? 물론 의료기관의 특수성을 고려할 때, 공공기관이나 일반 회사보다는 좀더 엄격하게 환자의 개인정보보호를 위해 정보보안을 엄격하게 실시해야 한다는 필요성의 인식에 대해서는 의료기관 담당자들도 공감하고 있는 바이다. 하지만 열악한 의료기관의 경제상황을 감안할 때 이 개인정보보호 가이드라인은 그러한 경제상황이 고려되지 못한 아쉬움이 있다는 것이 의료기관 보안담당자들 대부분의 의견이다. 이에 한 의료기관 보안담당자는 “기업들이 다루는 일반적인 고객 개인정보에 비해 좀더 민감하고 특수하다고 여기는 의료정보지만 결국 병원도 기업과 마찬가지로 인력·장비 등의 투자에 따른 비용적인 측면은 부담이 될 수밖에 없다”며 “가이드라인이다 보니 의료법이나 정보통신망법처럼 법적인 규제력은 없지만 복지부가 발표·배포한 것이다 보니 병원 입장에서는 무시할 수만도 없다”고 말했다. 이어 그는 “하지만 무엇보다 복지부의 가이드라인은 애매한 부분이 많다는 것과 명확히 이를 준수해야 하는가에 대한 불명확한 부분이 혼란스럽다”고 지적하고 “또한 병원이라는 특수한 환경 업무를 고려하지 않아 편리성에서 맞지 않는 부분이 있다보니 그 절충안을 만드는 게 담당자 입장으로서는 쉽지가 않다”고 하소연했다. 또다른 의료기관 보안담당자는 “실제로 암호화, 침입탐지 등의 부분은 보편적인 방법이 없다는 것이 담당자로서의 경험”이라며 “이 가이드라인에는 DB암호화라는 표현이 있는데, DB암호화 기술 자체가 보편적인 기술이 아닌데, 본 가이드라인은 특정 회사의 제품을 쓰라는 것도 아니면서 너무 두루뭉술하게 규정하고 있어 임의적인 판단을 하라고 하는 억지스러움이 있는 것도 사실”이라고 말했다. ◇ 임의적으로 병원이 판단하도록 한 것은 가이드라인의 한계 무엇보다 복지부가 이 가이드라인을 발표했지만 정작 정부에서 그렇게 하라고 하니까 무조건 해야 된다고 하고, 의사와 간호사들에게 말할 수 있다면 좋을 테지만 가이드라인이다 보니까 해야 될 것 같다고 말하면 현재로써는 그 중간적인 대답밖에 할 수 없는 어중간한 상태라는 것이 의료기관 보안담당자들의 의견이다. 이와 관련 의료기관 한 보안담당자는 “물론 강제로 한다면 못할 것은 없을 것이다. 하지만 실효와 현실성에서 벗어나는 부분을 당장 병원이 지켰다고 한다면 그 이후 발생하는 비용적인 측면 등의 부담에 대해서는 어떻게 할 것인가라는 의문을 가질 수밖에 없다”며 “즉 임의적으로 병원들이 판단할 수밖에 없도록 한 것은 이 가이드라인이 가지고 있는 한계”라고 지적했다. 또한 이와 관련 한 보안업체 관계자는 “조직이나 인력 문제는 적절한 가이드를 주기는 했지만 이 역시 조금은 과하다는 생각”이라며 “하면 좋긴 할 테지만 보안은 강화될지라도 병원 입장에서는 그에 대한 매리트가 그렇게 크게 나타나진 않을 것이기 때문”이라고 밝혔다. 이어 그는 “명확한 법률이 아닌 가이드라인이라는 것이 병원 담당자는 물론 정부기관 담당자에게도 어려움이 있을 것”이라고 덧붙였다. ◇ 어떻게 보안조치를 해야 하는지 물을 수 있는 창구(컨설팅) 필요 공청회를 거친 후 복지부의 가이드라인이 발표됐음에도 불구하고 지속적으로 이에 대해 해당 병원들과의 마찰이나 혼선이 야기된 것은 병원 입장에서는 공청회를 통해 자신들의 의견을 제시했음에도 이 가이드라인은 그러한 의견을 수렴하지 않았기 때문이라고 말한다. 이에 한 의료기관 보안담당자는 “무엇보다도 의견 수렴이 필요하다고 생각한다”며 “복지부 내에서 하든 위임을 하든 공공 성격을 갖는 조직을 갖고, 관련 문의를 할 수 있는 창구(컨설팅)가 있었으면 좋겠다”고 말했다. 그가 그러한 필요성을 강조한 것은 병원 스스로가 자의적으로 해석하는 것은 정보보안을 위한 것이 아니기 때문이라는 것. 또한 또다른 의료기관 보안담당자 역시 “병원 보안담당자로서 이 가이드라인이 제시하고 있는 보안조치들을 하지 않겠다는 게 아니다”며 “어떻게 해야하는 지를 물어볼 수 있는 창구가 있어야 하는데, 복지부는 이 가이드라인을 발표·배포했지만 그 외에 이에 대한 명쾌한 설명을 해 주거나 의문사항에 대해 어떻게 해야 할지를 가르쳐 주지 않고 있다”고 아쉬움을 토로했다. 즉 이 가이드라인이 제시하고 있는 것에 대해 방법적인 문의를 하면 구체적으로 확인할 수 있는 창구가 필요하다는 것. 그리고 그는 “거기에 제품 소개에 대한 가이드는 복지부가 할 수 없는 부분이라면 복지부가 그에 상응하는 방안을 만들어 줬으면 한다”고 말하고 “특히 보안조치를 위한 추가적인 비용이 들어간다면 지원 내지 인센티브 적용이 있었으면 좋겠다”고 제안했다. ◇ 상호타협점을 찾고, 서로 간의 어려운 점은 대화 등 통해 풀어나가야 실제 복지부가 제시하고 있는 가이드라인은 명확히 법적인 구속력을 갖고 있지 못하기 때문에 이러한 컨설팅 창구를 만든다는 것 자체가 힘들다는 것이 법률전문가의 의견이다. 또한 그는 “현실적으로 가이드라인은 법적인 구속력보다는 복지부와 병원들 간의 관계 문제로 이 가이드라인이 작용하고 있는 것 같다”며 “그런 만큼 상호타협점을 찾고, 무엇보다 서로 간의 어려운 점을 대화 등을 통해 풀어나가는 것이 가장 중요하다”고 조언했다. 한편 이와 관련 복지부 한 관계자는 “500병상 이상 의료기관에 대한 가이드라인 발표 이후 병원 등의 의견을 듣는 등 지속적으로 그에 대한 의견 수렴을 하고 있으며, 이후 후속조치를 현재 준비하고 있다”고 밝히며 “어려운 점이나 문의 사항이 있으면 복지부로 그에 대한 의견 등을 들려 줄 것”을 당부했다. “정보보안을 왜 하느냐?”는 질의는 이젠 시대에 뒤떨어진 물음일 수밖에 없다. 병원 등 의료기관들도 예외일 수는 없다. 그를 증명하듯 의료계에 있어서도 정보보안에 대한 분위기는 분명히 높아졌으며 그에 대한 관심도 올라가고 있다. 그런 만큼 특수한 상황 때문에 다른 분야에 비해 정보보안이 뒤쳐졌다는 대답은 이후 핑계가 될 수밖에 없다. 아직 의료정보 유출에 따른 큰 사건은 나타나지 않았지만 의료 전산화가 이루어졌고, 더욱 가속화되고 있는 현재 상황에서 정보보안을 등한시 한다면 이는 분명 이후 큰 악영향으로 의료계에 미칠 것이다. 그런 만큼 의료기관을 관할하고 있는 부처인 복지부는 단순히 가이드라인을 발표한 것으로 안주해서는 안될 것이며, 아울러 의료기관들 역시 국내 의료계에도 개인정보보호 및 정보보안이 뿌리내릴 수 있도록 하는 지속적인 노력과 경주가 요구된다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
