안전한 스마트 의료 위한 표준화 및 인증제도 필요

[보안뉴스 김태형] 사물인터넷(IoT)의 발달은 센서, 유·무선 네트워킹 등의 융합 기술을 활용한 스마트 의료 시스템까지 발전시켰다. 이로 인해 간단한 진료부터 원격진료, 맞춤형 의료기술에 이르기까지 언제 어디서나 질병을 예방·차단·치료·사후관리까지 가능하다.

IT의 발전과 신기술의 융합으로 이와 같은 스마트 의료와 같은 예방중심의 맞춤형 서비스가 가능해지면서 관련 시장이 확대되고 있다. 한국보건사회연구원에 의하면 향후 스마트 의료 분야에서 약 2조원 규모의 시장성장 및 연평균 약 13,000명 고용창출 효과를 예상했다.

스마트폰과 모바일 어플리케이션, 전용단말기 등을 통한 헬스케어 시장이 성장함에 따라 전통적인 제조 중심의 전문기업 외에도 소규모 자본을 기본으로 하는 스타트업 기업의 진출도 활발하다. 국내 통신사와 글로벌 제조사 역시 보유한 기반 기술을 이용해 사업영역을 확장을 추진하고 있으며, 기존 의료기관과 연계한 신규 사업도 추진하고 있다.

하지만 원격지 환자의 진단 및 치료를 위한 원격의료 시스템은 환자의 신체 및 의료 정보를 공유함에 따라 개인정보침해 위협이 존재한다. 특히 승인되지 않은 스마트 의료 센서/바이오인식 센서가 사용될 경우 환자의 건강정보 노출 및 위변조가 가능하다.

또 스마트 의료 단말기 사용자의 인증, 개인정보보호, 전송데이터의 보안이 적절하게 이루어지지 않으면 단말기를 통한 개인정보 유출 및 서비스 중단 등의 위협이 발생하게 된다. 더불어 스마트 의료센터내 저장된 개인정보 및 의료정보 접근제어, 암호화, 추적관리 등이 이루어지지 않으면 정보 노출 및 위변조가 가능하다.

의료기기와 유무선 네트워크가 결합된 스마트 의료 환경에서는 기존 TCP/IP 기반 보안위협과 신규 보안위협도 존재할 수 있다. 이로 인해 사용자 단말, 바이오 센서 등과 연결된 서버에 디도스 공격이 가능하며, 바이오 센서와 서버, 의료진 시스템과 서버, 사용자 단말과 서버간 전송되는 의료정보 및 개인정보의 도청 및 위변조도 가능하다.

이 외에도 환자 이동 또는 협진을 위한 환자 개인정보 및 의료정보 공유 시 공유 범위, 열람 제한, 보안감사, 생체정보 노출 시 인증 방안 등에 대한 보안대책의 부재로 인한 위협도 존재한다.

이처럼 스마트 의료 산업이 발전함에 따라 의료기기 사이버 공격 위험성의 증가로 국민의 생명과 안전에 직접적이고 심각한 영향을 초래한다. 국내의 경우 해킹에 의해 의료정보 등의 유출뿐만 아니라 병원 정보시스템을 장악해 생명을 해칠 수 있는 사건이 발생하기도 했다.

해커가 국내 병원의 진료기록·처방목록·MRI 촬영 화면까지 해외 서버를 이용해 수집했으며, 다수의 의료기관 PC를 악성코드에 감염시켜 병원 내부 PC 장악, 원격에서 병원 PC를 이용해 처방전을 임의로 조작이 가능하도록 했다.

이와 같이 스마트 의료 시스템에서 무엇보다 중요한 것은 의료 사이버보안 체계 마련이다. 환자·의료진·의료기기 제조업체·병의원·약국·의료보험 관련 기관, 정부 등을 망라한 이해 당사자들이 활용 가능한 의료 분야 분야의 보안 프레임이 시급하다.

미국은 2013년 버락 오바마 대통령이 의료분야를 주요 사회기반 시설로 정의하고 사이버보안 개선을 위해 사이버보안 프레임워크 설계 및 구축을 추진하고 있다.

우리나라도 국내 의료정보보호를 위해 환자·의료진·의료기기 제조업체·병의원·약국·의료보험 관련기관, 정부 등의 이해당사자들이 활용 가능한 의료분야 보안 프레임워크를 설계하고 구축하는 것이 필요하다.

의료 시장의 개방 및 국제화에 따라 점차 의료정보의 교환 공유·문제가 이슈화되는 추세다. 의료 표준화는 크게 콘텐츠와 기술영역으로 구분해 의료정보 체계를 객관적이고 공신력 있는 형태로 정의함으로써 의료산업과 관련된 모든 행위자들의 일관된 의료행위 처리가 가능하도록 한다.

보건의료 표준화 관련 국제표준기관은 ISO/TC215, HL7, CEN/TC251 등이 대표적이다. 이들 기관은 표준개발에 관한 협력을 합의하고 ISO/TC215에 WG9하에 Standard Harmonization이라는 이름으로 개발 중인 표준들 간의 상호 호환성 제고를 위해 노력 중이다.

지난 10월 국내에서 제안된 의료정보관련 표준안 3종이 국제 표준으로 채택됨에 따라 공식 국제표준으로 발간될 예정이다. 스마트 의료 분야의 주요 표준화 현황은 PHR, 모바일 헬스, 원격의료, 스마트데이터 및 의료정보보호 영역으로 구분할 수 있다.

◇ 의료기기 인증 현황
국내 의료기기 인증 현황을 보면, 의료기기법에 의거 의료기기의 안정성을 검증하고 품질을 심사하기 위해 의료기기의 등급을 분류하는 KFDA의 의료기기 ‘품목허가 및 GMP인증’이 있다.

또 원격진료 환경 마련을 위해 개인용 센싱 기술을 탑재한 신종 PHD(Personal Health Device)의 유형 증가로 관련 산업표준 정비 인증체계 검증을 진행하고 있다.

이처럼 의료정보 시스템 인증제는 정보시스템 제품, 서비스 표준화 규격의 부합성과 같은 사후관리제도를 위해 SW개발사의 정보화 관리 등급, 제품의 기능성, 상호 운용성의 3가지 영역에서 인증범위를 검토한다.

해외 인증제도의 경우 전자건강기록 인증프로그램으로 ANSI의 ONC(Office of the National Coodinator) 및 CCHIT(Certification Commission for Health Information Technology) 제도가 잘 되어 있는 것으로 평가되고 있다.

최근 국내에서는 의료정보 표준 보급을 위해 CCHIT의 인증 프로세스를 기본으로 우리의 실정에 맞도록 가능성, 상호운영성, 보안성 측면으로 변형한 ‘EMR인증제’를 검토하는 단계다.

◇ 의료정보보호 기술 표준

의료정보 기술 표준은 ISO/TC215, ASTM, HL7, DICOM 등과 같은 표준화 기구들의 활동을 통해 독자적, 상호협력적으로 개발되고 있다. HL7은 병원정보 시스템 및 의료장비 접속에 관한 표준을 제정하는 표준기관이며, DICOM은 의료 디지털 영상과 부수적인 의료 통합 정보의 전송을 위한 표준 영상 신호 규약이다.

또 ASTM은 미국의 제품 및 재료에 대한 용도 및 특성을 시험하고 제품의 품질을 규격화할 수 있도록 인증을 다루는 표준기구이며, ISO/TC215는 의료장비간 데이터의 상호연계성 및 호환성 확보, 의료기록의 디지털화에 필요한 표준 개발을 목표로 하는 의료정보기술위원회이다.

국내는 진료정보교류에 대한 표준 부재로 각 의료기관의 진료정보의 저장, 관리 및 보안체계 등이 상이하게 나타나고 있어, 향후 의료기관간 진료정보 교류에 문제 발생이 예상되고 있다.

이에 정부는 IHEE(Integrating the Healthcare Enterprise:국제 의료정보표준)의 보안 및 프라이버시 통제 항목을 검토하여 종합병원, 병원 등의 규모를 반영한 국내 실정에 맞는 진료정보교류 보안체계 마련과 ISO/IEC 27001 ISMS를 기반으로 한 의료분야 정보보호관리체계인 ISO/IEC 27799를 활용한 의료정보보호 표준화 작업 및 인증체계 마련과 함께 병원정보 교류정보의 서식 및 용어의 표준화를 추진할 계획이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>