“환자의 생명 달린 ‘의료정보’, 튼튼한 보호 체계 필요해”

[산업일보]
환자의 생명과 직결되는 정보를 지닌 의료 기관을 향해 정보보호 관리체계 구축이 시급하다는 주장이 제기됐다.

한국인터넷진흥원(이하 KISA)은 최근 발표한 보고서인 ‘의료기관 정보보호 강화를 위한 노력’에서 의료기관의 환자 개인정보 유출 사고가 지속해서 발생하고 있지만, 이중 대다수가 정보보호를 위한 활동과 투자에 소극적인 태도를 보이고 있다고 지적했다.

정부는 정부보호 업무의 수월성을 돕기 위해 2015년 정보통신망법 및 시행령을 개정함으로써 연간 매출액 1천5백억 원 이상의 상급종합병원을 ISMS(Information Security Management System) 인증 신규 의무 대상으로 지정했다.

하지만 인증 필수항목인 정보보호 조직을 완벽히 갖춘 병원은 절반 정도에 지나지 않고 있으며, 전담조직 없이 정보보호 담당자만을 두고 운영하는 병원도 많아 현실적으로는 여전히 한계가 있다는 지적이다.

이에 더해, 최근 사회의 움직임이 디지털 시대를 향해 나아감에 따라 의료정보의 활용이 진료를 넘어 연구를 위해서도 활용되고 있는 만큼 사회는 의료 정보를 향해 더욱 신중하고 체계적인 관리가 필요하다는 목소리를 높이고 있다.

하지만 의료 기관의 정보보호 현황은 생각보다 더 열악한 편인 것으로 드러났다. 환자의 생사를 다루는 의료장비에 연결되는 게이트웨이 PC의 대다수가 보안패치와 백신 프로그램 설치 시 오작동이 발생하는 기술지원이 종료된 운영체제를 사용하고 있어, 랜섬웨어 등의 사이버 해킹 문제에 취약한 상황이기 때문이다.

병원정보보안협의회의 경우호 회장은 “운영체제 보안패치와 백신 프로그램 설치가 불가능한 의료장비 PC 운영 현황에 대한 전수조사가 필요하다”라며 “이를 조사해 인터넷 등 불필요한 서비스를 차단하고 보안 위협 발생 시 긴급 패치 적용 등의 조치가 가능하도록 준비해야 할 것”이라고 제언했다.

“환자의 정보를 보호하는 노력은 의료의 질 향상에 못지않게 중요하다”라고 언급한 경 회장은 “의료정보보호는 선택이 아닌 필수지만 아직 의료기관 자체 자율적인 부분으로는 한계가 있으니, 개인정보보호 자율규제 단체의 자율 점검을 성실히 수행하며 정보보호를 향한 발걸음을 함께 하려는 노력이 필요하다”라고 덧붙였다.

최수린 기자 sr.choi@kidd.co.kr