• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의료분야, 개인정보보호에 취약한 이유 4가지 2015.07.29

의료분야, 수탁사 개인정보관리 시스템에서 문제 발생 

의료진의 보안의식과 원격의료 및 의료기기 보안위협도 문제


[보안뉴스 김경애] 의료분야의 개인정보 불법 수집 및 거래 사건에서 알 수 있듯이 의료 분야의 개인정보보호 실태가 여전히 취약한 것으로 드러났다. 


특히, 이번 개인정보 유출사건과 관련해 직접 관련된 곳이 3곳이며, 프로그램 공급업체 등을 포함해 연루된 곳은 10개사에 달한다. 이에 보건복지부와 행정자치부는 의료 분야의 개인정보보호 실태에 대해 전반적으로 점검할 방침이다.

 

1. 수탁사 공급 개인정보관리 프로그램의 문제와 계약 체결 미흡 

현재 전국에 의료관련 SW 프로그램을 공급하는 수탁사는 100여개이며, 개인정보관리 프로그램을 사용하는 기업은 2,000여개이다. 그러나 개인정보보호를 위한 수탁사와의 계약 체결은 매우 미흡한 것으로 조사됐다.  


이와 관련 행자부 개인정보보호과 조성환 과장은 “기업에서 개인정보를 다루는 프로그램이 들어가면 개인정보보호법에 따라 보안요구 수준을 맞춰야 하는데, 수탁사와의 계약 체결시 어떤 내용이 들어가야 하는지 잘 모르거나, 인식하지 못하고 있는 병원 등 의료기관이 많다”고 지적했다.


또한 수탁사가 개발한 프로그램 74% 이상이 시스템상 문제가 있는 점도 지적사항으로 떠올랐다. 이는 수탁사의 프로그램 개발자가 프로그램을 만들 때부터 개인정보보호법에 따라 개인정보 접근통제 기능을 추가하거나 비밀번호 관리 프로그램 등을 넣어야 하는데, 개발자가 개인정보보호법을 잘 모르거나 비용문제 등으로 인해 적용하지 않은 경우가 상당수라는 게 그의 설명이다.

이에 대해 조 과장은 “개인정보를 다루는 의료분야 프로그램 사용 비중을 보면 수 만개의 병의원에서 3~4개 프로그램을 사용하는 과점 형태”라며 “수탁사 점검을 통해 적발된 위반사항이나 개선사항의 경우 사용자에게 동의를 구해 변경하도록 권고했다. 이와 관련해서 지난 5월 80여개 수탁사를 대상으로 점검을 진행했다”고 설명했다.

2. 의료분야, 원격의료 보안위협 심각 

이어 원격의료 서비스의 보안위협도 문제점으로 지적되고 있다. 대한의사협회에 따르면 원격의료 서비스를 운영 중인 현장을 방문해 서비스 절차 및 운영현황을 조사한 결과 △비 암호화 통신 △악성코드 감염 노출 △비밀번호 설정 취약 △파일 외부 전송 통제 불가 △PC 보안 프로그램 미설치 △저품질의 영상 △ID카드 도용으로 인한 오진 발생 가능 △외부인의 시스템에 대한 접근차단 조치 부실 △서비스 이용 교육 및 정보 제공 부재 △이용자 개인정보 동의 및 관리절차 부재 등의 문제점이 존재했다고 밝혔다.

또한 ‘의료분야’ 대분류 13개와 ‘원격의료분야’ 대분류 3개로 구분해 총 195개의 평가항목 중 44개의 항목만이 적용 가능했으며, 그 결과 적용된 모든 평가항목에서 제시하는 보안 요구사항을 만족하지 못하고 있다는 설명이다.  

또한 ‘약학정보원 정보 유출’ 사고를 기반으로 한 시나리오의 피해규모를 산정한 결과, 약 2,000억 원에서 2,700억 원 정도의 피해가 일어날 것으로 예상되며, 원격의료 서비스는 ‘비 암호화 통신’, ‘접근통제 미비’, ‘보안 프로그램 미비’ 등으로 인해 기술적 안전성 조치가 전무한 상태로, 현재 서비스 수준으로 운영될 경우 ‘약학정보원 의료정보 유출’ 사례와 같은 보안사고 발생이 재발할 가능성이 높다고 우려했다.

3. 의료기기, 개인정보 평문 전송 등 취약

이어 원격의료 서비스에 이용되고 있는 의료기기(블루투스 혈압측정계)에 대한 취약점도 드러났다. ‘의료기기-관리어플리케이션-서버구간’에 대한 패킷 분석과 기기 내에 저장된 데이터 분석을 통한 취약점 점검 결과 △어플리케이션 로그인 시 아이디, 비밀번호를 포함한 개인정보가 평문으로 전송되어 탈취 가능 △혈압 측정결과 입력 및 확인시 혈압, 맥박 등의 의료정보가 평문으로 전송되어 탈취 가능 △파라미터 변조를 통한 타인의 혈압 측정결과 확인 및 변조 가능 △모바일 기기 내 개인정보의 평문저장으로 인한 개인정보 탈취가 가능한 점도 제기됐다.


4. 의사 및 병원 관계자들의 보안의식 부족 
뿐만 아니라 의료진 및 병원 관계자의 취약한 보안의식도 문제가 되고 있다. 상반기에 진행된 병원(30인 병실 기준) 분야 실태점검 결과, 병의원에서 가장 많이 발견되는 문제점은 다름 아닌 암호화 위반이며, 비밀번호를 1자리나 2자리로 하는 등 취약한 비밀번호 설정도 지적사항으로 드러났다.


이와 관련 조 과장은 “규정을 위반한 병원 관계자 말을 들어보면 비밀번호를 복잡하게 설정하면 의사선생님이 싫어한다는 말을 듣곤 한다”며 “문제가 지적된 병원에 대해 권고하고 있는데, 이는 대부분 의사 및 병원 관계자들의 보안의식이 전반적으로 부족해 적발되는 경우”라고 지적했다.
[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>