의료기관 업무용 출력물 관리 미흡... 외부로 문서 유출 위험 높아

[보안뉴스 김태형] “최근 프린터가 대량 보급되고 출력속도가 증가함에 따라 사무실에서도 대량 출력이 가능하다. 지난 2010년 국민연금공단의 개인정보 출력물 유출 사고는 고의적으로 출력물을 통해 10만명의 개인정보가 유출되기도 했고 국군병원은 개인 신상정보가 담긴 출력물을 이면지로 재활용해 개인 정보가 유출된 사례가 있다.”

임섭만 태흥아이에스 본부장은 13일 개최된 ‘병원 의료정보화 협력 및 교류 위한 발전 포럼’에서 ‘개인정보보호법에 따른 출력물관리방안’이라는 주제 발표에서 이와 같은 출력물을 이용한 개인정보 유출사례를 소개했다.

그는 “기업과 기관의 종이문서 등의 출력물 보안관리 방안이 필요하다. 특히, 의료기관의 진료정보와 관련된 문서는 세단기를 통해 폐기하지만 각 부서들의 업무용 출력물은 관리되지 않고 있다”고 설명했다.    

이렇게 관리되지 않는 의료기관의 업무용 출력물의 비중은 전체 출력문서 중 64%를 차지한다. 이렇게 출력 후 관리되지 않는 종이문서는 개인의 부주의로 인해 이면지 및 폐기물 형태로 외부로 유출되어 심각한 문제를 발생시키고 있다는 것.

개인정보보호법에서는 부주의로 유출된 개인정보에 대해서도 형사 책임을 규정하고 있고, 유출사고에 대해 유출자 처벌 외에 해당 법인의 관리 책임을 규정하고 있다. 
 

임 본부장은 “2011년 9월 30일 발효된 개인정보보호법은 일반법으로 기존의 특별법(의료법, 신용정보법 등)에 비해 개인정보의 보호대상을 포괄적으로 규정하고 있으며 특별법에 규정되지 않은 항목에 대해서는 개인정보보호법에 적용을 받는다. 따라서 전사적인 통합적인 보안 시스템 구축이 필요하다”고 설명했다.

또한, 그는 “기존의 특별법에 의해 네트워크 및 데이터베이스 등의 기간계 시스템 보안은 꾸준히 이뤄져 왔으나 출력물 부문은 매우 열악한 상황이다. 개인정보보호법은 개인정보 처리에서 출력까지 보호 대상으로 규정하고 있으므로 이에 대한 대비책은 반드시 필요한 상황”이라고 강조했다.

이에 기존의 매체제어나 DLP, 문서보안이나 DRM의 일부로 적용되어 온 출력물 보안 기술은 기능 및 적용 범위의 한계를 가지고 있다. 따라서 기존 출력물 보안의 기능적, 범위적 제한을 극복하고 법적 규제에 대응할 수 있는 출력물 보안 솔루션의 구축이 필요하다는 것.

임 본부장은 “출력물 보안 솔루션에서 요구하는 기능은 크게 로그관리·출력관리·사후관리 등으로, 특히 출력물 내에 진료정보의 포함여부를 확인하고 별도의 로그관리가 가능해야 하고 증거 획득을 위해 원본 이미지 로그를 수집해야 한다. 또한, 개인정보가 포함된 페이지만 선별 저장해야 하고 문제 발생시 신속한 대응을 위해 출력 내용을 검색할 수 있어야 한다”고 설명했다.

아울러 권한 없는 사용자의 개인정보 출력 차단, 워터마크 적용, 중요 업무 시스템의 선별적 화면 출력(캡쳐)차단, 개인정보 문서 출력 시 사용자에게 경고, 전사적인 개인정보 출력물 보유 및 처리현황 파악 등이 가능해야 한다.

그는 “이처럼 의료기관도 각종 규제와 법률에 대응하기 위해서는 다양한 형태의 개인정보 문서의 출력을 통합 관리할 수 있는 전사적인 출력물 통합 보안관리 솔루션이 필요하다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>