“의료정보 클라우딩, 보안상 문제될 수 있어 다양한 측면 검토해야”

[보안뉴스 김경애] IT 기술의 발달은 의료계에도 새바람을 일으켰다. 예전에는 몸이 아프면 환자가 직접 병원에 찾아가 진료를 받았지만 이젠 환자 편의에 맞게 언제 어디서나 건강을 체크하고 진료를 받을 수 있게 환자중심으로 패러다임이 바뀌었기 때문이다.

이에 따라 이미 선진국에서는 개인이 의료정보를 스스로 관리하는 개인건강기록(PHR) 시스템을 추진 중이다.

현재 국내에서는 분당서울대학교병원에서 보건의료산업 육성을 위한 시범사업으로 클라우드를 기반으로 글로벌 PHR 모델인 ‘iPHR’을 개발해 적용하고 있다.

이를 통해 EHR(Electronic Health Record) 및 PHR 시스템 연동을 위한 차세대 정보공유 체계 및 핵심기술 개발, 클라우드 기반의 PHR 시스템 개발 및 운용 후 이슈 도출, 표준화 전략 및 법적 규정·제도 개선, 사업화 전략 수립을 목표로 연구할 계획이다.

현재 분당서울대학교병원의 클라우드 ‘iPHR’ 플랫폼은 연동->수집 정보 처리->DB->오픈 API로 구성되어 있다. 데이터는 의료기관 연동, 헬스케어 기관 연동, 스마트카드 인증 연동 등을 통해 수집돼 처리된다. 처리된 정보는 사용자 정보, 진료정보, 생체정보, 문진정보, PHR분석정보, 로그정보 DB로 구분된다.  

이러한 데이터를 기반으로 오픈 API를 통해 평생건강관리, 환자중심의 진료정보 공유, 의료비용 절감 가능한 의료 서비스 개선, 모바일 의료 서비스(스마트 U-health Service)로 환자에게 맞춤 제공하도록 구축돼 있다.

개인정보는 식별정보와 무명의 페이로드 데이터로 분리되어 익명화 서비스(Pseudonymization Service)에 전달된다. 전달된 데이터는 암호화 등 사전에 정의된 프라이버시 정책에 따라 업무에 수행되고, 익명화된 데이터를 저장소(repository)로 전송한다.

그러나 일각에서는 의료정보 데이터가 의료기관이 아닌 제3자인 클라우드 서비스  제공업체에게 넘어가는 것에 대해 우려를 제기했다.

이에 대해 분당서울대학교 병원의 한종수 교수는 “개인이 갖고 있는 개인 로그인 시스템을 의료진은 조회할 수 없다”며 “의료진은 의료실에서만 정보 조회가 가능하다”고 말했다.

또한 통신사를 통해서 의료정보를 클라우딩 하는 건 보안상 문제가 될 수 있다는 우려에 대해서는 어떻게 대응하고 있을까? 분당서울대학병원의 보안성을 검사하고 있는 온시큐리티의 강형구 대표는 “개인정보보호법에서는 제3자 제공에 대한 동의가 있으면 가능하지만 의료법상에는 의료정보를 제3자에게 제공할 수 없다”며 “그러나 클라우드 서비스를 통한 이번 사업은 연구·개발 목적인 시범사업이기 때문에 법의 저촉을 받지 않는다. 그러나 수익사업으로 연결될 경우 법적인 측면, 보안적인 측면 등 여러 가지 사항을 좀더 면밀히 검토해야 한다”고 말했다.

이어 그는 현재는 병원 안쪽으로 데이터를 이전하고 있으며, IP 보안성을 검토 중에 있다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>