[인터뷰] 강남세브란스병원 의료정보팀 김상범 정보보호 담당자
“ISMS 인증 의무화로 부담 가중...예산·인력 부족 문제는 선결 과제”

[보안뉴스 김태형] 최근 불법으로 환자 의료정보를 암호화시켜 사용할 수 없게 해 놓고 거액을 요구하는 랜섬웨어(Ransomeware) 공격이 급증하고 있다. 이는 공격자들이 사이버 공격의 예방과 방어에 총력을 펼치고 있는 금융기관보다 쉽게 해킹할 수 있는 새로운 먹거리를 찾아보안이 다소 미흡한 의료기관으로 눈을 돌리고 있는 것이다.


최근 국내에서는 이와 같이 환자 진료·치료 정보 등과 개인건강·의료정보에 대한 사이버 공격 및 해킹으로부터의 위험성을 차단하고자 개인정보보호법을 강화하고 있다. 이에 따라 지난 6월 2일에는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 시행령 및 시행규칙 개정안이 시행됐다. 이에 국내 상급 의료 기관 43곳이 정보보호 관리체계(ISMS) 인증제도 인증 의무대상에 포함됐다.

ISMS인증 의무 대상 병원 중 연세대학교 강남세브란스병원은 800병상 규모의 1일 외래환자4천명이 다녀가는 상급 의료기관으로서, 환자 및 의료정보의 보안 강화를 위해 지난 2012년에 ISO27001 인증을 받았으며 부분적인 망분리 시스템을 구축했다. 하지만 이번 ISMS 인증 의무화 확대조치로 인해 ISMS인증도 받아야 한다. 이에 대해 연세대학교 강남세브란스병원 의료정보팀 김상범 정보보호담당자는 “나름대로 정보보호 강화를 위해 예산과 인력을 투입하면서 노력을 하고 있다. 하지만 올해 안에 ISMS 인증 획득을 위한 준비를 해야 한다. 가장 큰 문제는 외부 컨설팅 업체를 통해서 컨설팅을 진행해야 하는데, 예산이나 전문 인력이 많이 부족하다는 점”이라고 말했다.

연세대학교 강남세브란스병원은 정보보호 전담부서는 없지만 의료정보팀 안에 정보보호 담당자를 두고 정보보호 업무를 하고 있다. 강남세브란스병원의 의료정보팀 인력은 총 23명이며 이중 전산AS와 업무 프로그램 개발을 담당하는 외주인력 8명 등으로 구성되어 있다. 강남세브란스병원보다 규모가 더 큰 연세대학교 신촌세브란스병원은 올해 정보보호팀을 신설했다. 의료정보실 정보통신팀 내에 정보보안파트를 신설하고 전문인력이 정보보안 업무를 전담하도록 정보보안 및 관련 업무를 강화했다.

김상범 담당자는 “우리 병원 정보보호최고책임자는 기획관리실장(의사겸 교수)이 맡고 있으며, 각 과의 부서장이 정보보호 실무책임자로 지정되어 있고 정보보호 담당자가 각 1명씩 지정되어 있다”면서 “정보보호를 위한 전문 조직이나 인력 구성이 미흡하지만 정보보호의 중요성이 점차 증가하는 추세이기 때문에 향후 신촌세브란스병원과 같이 정보보호 전문 조직이 구성될 것으로 기대하고 있다”고 말했다.

최근 병원 내 가장 큰 보안 이슈와 사회적 보안 이슈에 대해 그는 “내부적으로는 ISMS인증이며 사회적으로는 랜섬웨어 등, 악성코드가 가장 큰 보안이슈로 부각되고 있다. 우선 ISMS인증과 관련해서는 이미 지난 2012년에 국제표준 정보보호인증 ‘ISO27001 인증’을 받았고 1년에 한번씩 갱신을 위한 평가와 점검을 받고 있다. JCI(국제기준 의료기관 평가)도 받고 있는데 여기에도 보안관련 항목이 있어 이와 같은 병원 관련 평가인증에서도 보안관련 사항은 여러 가지로 중복되는 것이 많아 인력과 예산 관련 부담이 크다. 하지만 이번 ISMS 인증 의무 확대에서 금융기관이 빠진 것은 형평성에서도 어긋난다”고 말했다.

이어서 그는 “명확한 기준이 없이 평가와 인증만 여러 개씩 받으라고 하니 이를 받는 입장에서는 여러 가지 문제점과 어려운 부분이 있다. 특히 중복적인 인증이나 평가로 인해 소요되는 비용과 시간, 인력 부분에서의 손실이 매우 크다. 정부의 보다 명확한 기준과 실효성 있고 실질적인 정책 마련과 실행이 절실하다”고 덧붙였다.

또 강남세브란스병원은 랜섬웨어 등과 같은 악성코드 대응을 위해서 외부 협력 병원 의사들이 참여하는 내부 보안 교육을 진행했으며 기존 1년 2회의 온라인 정보보안 교육으로 진행하던 것을 올해부터 1년 1회 온라인 교육과 필요 시에 따라 오프라인 교육을 진행하도록 변경해 형식적인 보안 교육보다는 실질저인 교육에 집중하기로 했다.

특히 강남세브란스병원은 임직원들의 보안 수준 강화와 인식제고를 위해 한달에 한번 ‘보안의 날’을 정해놓고 업무자들이 지켜야 할 보안관리 항목을 평가하도록 하고 있다. 평가한 내용은 각 부서장의 결제를 받고 정보보호 담당자들이 평가 내용에 대한 조치를 한다. 아울러 업무 PC에는 기본적인 개인정보 관리 솔루션을 비롯해 필수적인 보안 솔루션과 시스템을 도입해 운영하고 있다.

여러 병원의 보안 담당자들과 관련 정보를 공유하고 보안 관련 컨퍼런스나 세미나를 통해 관련 정보를 얻고 있다는 그는 “정보보호에 대해서는 주로 연세의료원과 공동으로 대처하거나 진행하는 일이 많아 신촌세브란스병원 정보보호 담당자와 협업을 하고 있다”고 설명했다.

또한 그는 “보안업무를 하다 보니 의료진들과 개발 및 운영부서와의 협업이 가장 어려운 문제다. 환자 DB에 대한 접근제어는 물론, 웹하드 등 특정 웹사이트 접속 통제와 USB저장장치 활용 등의 제한과 같이 항상 보안이 우선 순위가 되다 보니, 실제 업무자와 사용자들에겐 불편을 주기 마련이다”면서 “이를 해결하기 위해서는 보안에 대한 인식 변화가 매우 중요하다고 생각한다. 이를 위해서 우리 병원은 교육이나 홍보를 통해 보안의 중요성을 알리는 것을 최우선으로 하고 이러한 것들을 실천하고자 하는 최고 관리자의 의지도 중요하게 생각한다”고 말했다.

강남세브란스병원은 이처럼 내부에서 웹하드나, 유튜브, 불법사이트 등의 접속을 차단하는 보안정책을 운영하고 있다. 이로 인해 진료 업무용 PC는 외부망 접속을 차단하고 안전하게 보호하고 있다. 하지만 의료진과 교수들, 업무자들에게 업무 용도의 외부망 연결이 필요한 부분에서 많은 불편을 야기했다. 이에 교수들의 연구용 PC는 망분리 시스템으로 구축해 진료용 PC와 외부망 연결이 되는 PC를 구분해 업무의 편의성과 보안성을 확보했다.

지난 2014년부터 보안 담당자로 근무하면서 김상범 담당자가 가장 어려움을 느낀 점은 보안업무와 현업부서가 부딪히는 부분이었다. 이에 대해 그는 “현업부서에서 보안이 불편하다고 하는 것은 보안에 대한 인식의 부족 때문이라고 생각한다. 이에 정보보호 부서와 보안담당자는 업무자들의 보안 인식을 변화시켜 보안업무와 현업부서간의 마찰이 없고 업무에 불편함이 없도록 적극적인 교육과 홍보를 해야 한다”고 강조했다.

이러한 문제는 보안에 대한 투자가 활발하지 않기 때문이라는 그는 “활발한 보안 투자를 통해 보안이 업무에 불편을 주지 않도록 하고 대형 정보보안 사고가 발생하지 않도록 하는 것이 보안담당자들의 중요한 역할이다. 또한 사고 발생 시에는 대응 매뉴얼대로 최대한 빨리 업무 시스템을 복구하고 정상적인 업무가 가능하도록 하는 것이다”라고 덧붙였다.

이에 강남세브란스병원은 시스템에 문제가 발생했을 경우 백업 및 동기화 시스템이 잘 구축되어 운영되고 있어 어떤 환경에서도 업무에 지장이 없도록 준비를 하고 있다. 특히 최악의 경우에는 수동으로 모든 것이 가능하도록 하는 대응 매뉴얼까지 구축되어 있으며, 이 매뉴얼에 따른 훈련도 1년에 한번 실시하면서 정보보안에 만전을 기하고 있다.

최근 백신 프로그램을 전체적으로 교체한 강남세브란스병원의 올해 중점 보안 사업은 망분리 사업과 ISMS인증 획득을 위한 준비다. 특히 현재 일부 적용되어 있는 망분리는 진료 및 환자용으로 사용하는 PC는 내부망으로 구축하고 교수와 의료진에서 연구용을 사용하는 PC는 외부로 접속 가능한 외부망으로 구축하는 망분리를 확대할 예정이다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>