공공, 금융 등과 비교해 보안취약성이 높다고 지적되고 있는 병원들이 보안 투자에는 소홀한 것으로 나타났다. 병원은 해커들의 공격 대상이 될 경우 단순히 정보만 유출되는 것 뿐만아니라 개인의 생명까지 위험해질 수 있다는 점에서 문제가 크다. 그러나 여전히 개인병원이나 요양원 등은 보안에 투자할 여력이 없어 공격의 대상이 될 가능성이 높은 상황이다.
10일 보건복지부, 의료보안솔루션회사 관계자들은 의료부문에 대한 보안은 이제 막 도입되기 시작한 단계이며, 병원 수에 비해 이들이 다루는 정보를 안정하게 관리할 수 있는 대책이 보편화되기까지는 많은 시간이 필요할 것이라고 전망했다.
미국의 경우 의료정보는 보안등급상 최상위 수준을 유지해야 한다. 개인의 진료기록이 보험회사에게 노출될 경우 병력이 있는 사람들은 보험에 가입시 일반인보다 세 배 이상 많은 보험료를 지불해야 하는 등 문제가 발생할 수 있기 때문이다. 우리나라처럼 국민의료보험제도가 없는 미국에서는 의료정보유출 이슈가 불거지기 시작하면서 처음으로 개인정보보호에 대한 논의가 시작됐을 정도다.
반면 국내에서는 정책적으로 강력한 개인정보보호를 요구하는 공공이나 금융부문과 달리 의료부문은 상대적으로 정보보호에 취약했다.
김석우 한국정보보호학회 학회장은 미국 등을 포함한 OECD회원국 13개 국가에서 1990년대 초부터 개인정보보호에 대한 법규를 마련했으나 국내에서는 한국인터넷진흥원(KISA)이 1997년대 후반부터 개인정보보보호에 대한 가이드라인을 마련한 것이 시작이었다고 밝혔다. 선진국 보다 10여년 뒤에 개인정보보호에 대한 개념을 잡아왔다는 것이다. 지난 2011년 제정된 개인정보보호법 역시 이로부터 15년 이상 시간이 지나서야 법으로 정의됐다. 의료정보를 개인정보의 하나로 보고 추가적인 보호조치를 취해야한다는 내용을 담은 '의료기관 개인정보보호 가이드라인'이 나온 것도 지난해 9월의 일이다.
그나마 국립병원이나 대형병원들은 사정이 나은 편이다. 보건복지부 정채용 정보화 담당관은 보건복지부 소관인 국립병원에서는 아예 행정안전부와 함께 공동으로 지침을 내려 내부적인 관리계획을 세워 시행하도록 하고 있다고 밝혔다. 그는 이어 웹구간 암호화 송수신, 개인정보 데이터베이스(DB) 암호화, 로그기록에 대해 6개월 이상 저장해 관리해야한다는 등의 지침을 각 국립병원 등에 전달해 이를 수행토록했다고 말했다.
그러나 일반 개인 병원, 요양원과 같은 곳은 예산부족과 인력부족으로 이 같은 지침을 따르기 힘들다. 실제로 국내 다수 보안업계 관계자들은 병원들이 의료정보에 대해 보안시스템을 적용하려는 움직임을 보이고는 있으나 여전히 예산 문제로 도입을 꺼리는 경우가 대부분이라고 밝혔다.
병원에 DB암호화, DRM 등과 같은 정보보안시스템 등을 구축하기 위해 소형병원의 경우 몇백만원 이상이 들고, 개인 병원들도 도입 내용에 따라 수십만원 이상의 자금이 필요하다고 모 의료시스템 구축회사 관계자는 설명했다.
관련기사
- 비트컴퓨터, 의료기관 통합보안솔루션 공급2013.01.10
- 의료기관 개인정보 위협 현실화?2013.01.10
- 의료기관 개인정보보호 어떻게 할까?2013.01.10
- 의료 정보화 시장, 중소병원으로 몰린다2013.01.10
2년 전 미국에서는 진료기록을 모조리 암호화 한 뒤 돈을 주지 않으면 암호를 풀지않겠다고 협박하는 '랜섬웨어'공격이 발생했다. 해커들이 병원 DB에 저장된 환자의료정보를 인질삼아 댓가를 요구하는 신종 해킹 범죄 수법이다.
이글루시큐리티 김동우 수석부장은 과거 조사결과 서울대병원 등 500병상 이상 대형병원을 제외하고는 아예 보안예산을 갖추지 못한 곳이 대부분이라며 추가적인 대책이 필요한 시점이라고 밝혔다.
