[기획]상급종합병원의 ISMS인증 대응
상태바
[기획]상급종합병원의 ISMS인증 대응
  • 병원신문
  • 승인 2017.01.02 08:34
  • 댓글 0
이 기사를 공유합니다

박찬효 비트러스트 인증컨설팅 본부장
외부교육 및 전문기관 업무연계 모색 필요
▲ 박찬효 본부장
2016년은 많은 의료기관(이하 “병원”이라 함)의 정보화(혹은 정보보호) 담당자들에게 예상치 못한 큰 짐이 갑자기 부여되었던 한 해로 오래도록 기억될 것이 분명하다.

정보통신망법으로 알려져 있는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률(제13520호)”의 개정 사항이 2016년 6월 2일에 원안대로 시행되었고, 해당 법률 시행령 제49조의 시행(ISMS 인증 대상 확대) 방안을 미리 준비하지 못한 병원(보건복지부 지정 43개 상급종합병원) 담당자들의 업무적인 혼동이 본격적으로 시작되었기 때문이다.

물론, 해당 법률 개정의 소관부처인 미래창조과학부에서는 ISMS 인증을 담당하는 한국인터넷진흥원(KISA)과 함께 2016년 상반기에 해당 법률의 개정 취지와 행정 처리 방안을 홍보하는 한편, ISMS 인증 대상으로 지정된 43개 상급종합병원과 37개 대학교(고등교육법에 따른 재학생 1만명 이상) 담당자들을 대상으로 공청회 및 ISMS 인증 제도 설명회 등을 개최하여 개정된 법률의 행정적 이행방안을 구체적으로 제시한 바 있다.

그러나 담당자들이 직면한 문제는 법률 준수, 즉 ISMS 인증을 획득하기 위해 필요한 최소 6개월 이상의 시간과 비용이 소요되는 현실을 미처 준비하지 못했다는 것이다. 또한 ISMS 인증을 받기 위해 필요한 내부 정보보호 담당 인력을 보유하지 못한 상태에서 외부의 ISMS 인증 컨설팅 업체를 활용하기 위한 예산 확보, 업체 선정 및 사전 준비에 대한 세부 계획 수립이 매우 미진했기 때문에 혼동은 가중될 수 밖에 없었다.

또한 병원과 대학교의 담당자들에 의한 행정제도 저항(2016년 내 ISMS 인증 획득 기준)이 상당하여 대한병원정보협회(약칭, 대정회), 한국대학정보화협의회(약칭, 대정협) 등 실무자들을 중심으로 규제개혁위원회에 해당 제도의 중복규제, 과중한 업무부담 등을 청원한 바 있다.

현재 우리나라에서 운영 중인 정보보호 관리체계(ISMS) 인증 제도의 효시는 1998년 영국의 왕립표준협회(BSI)에서 제정한 정보보호 관리체계 인증규격인 BS7799로부터 시작했다. 여타의 국제적 인증규격과 마찬가지로 BS7799는 다년간의 학술적 논의와 현장 업무에 대한 적용을 거쳐서 2005년에 ISO27001 인증규격으로 공인되었다.

국내에서도 2000년 초반에 급속한 정보화가 진행됨에 따라 국내 기관들에 대한 표준화된 정보보호 관리체계가 필요하게 되었고, 당시 소관부처인 정보통신부(현, 방송통신위원회)가 주관하여 한국정보보호진흥원(현, 한국인터넷진흥원)을 중심으로 정보보호관리체계(ISMS) 인증 제도를 2002년에 제정하였다. (2016년 현재 410개 민간 및 공공기관이 인증을 유지하고 있음)

이러한 정보보호 관리체계 인증 제도는 입법 취지에 부합하여 많은 기관들의 안전한 정보화 업무 추진을 지원하고 있는 것이 사실이다. 아울러 정부에서는 사회 모든 분야에서 추진되고 있는 정보화 추세와 더불어 동반 상승하고 있는 심각한 정보유출, 정보시스템 침해사고 발생에 따른 사회적 손실 비용이 심각한 상황으로 우려하고 있다.

이에 대한 해결방안으로 ISMS 인증 제도의 범위를 확대하여 대국민 파급효과가 상당하다고 판단되는 의료기관과 교육기관에 대한 인증 의무화 대상에 포함한 것으로 추정된다.

그러나, 우리나라 대부분의 병원(상급종합병원 포함)들은 정보화 예산과 정보화 담당자를 최소한 범위로 운영하고 있는 것이 현실이므로, 법률 준수를 위해 정보보호 담당자(전담자)를 확보하여 ISMS 인증을 획득하고 매년 유지하는 것은 매우 어려운 실정이다. 병원의 ISMS 인증을 위해서는 인증컨설팅 비용과 인증심사 비용 등 기존 예산에서는 다루어지지 않았던 신규 비용의 지출을 수반하게 된다.

아울러, 병원의 업무는 처방전달시스템(OCS/Order Communation System), 전자의무기록(EMR/Electronic Medical Record), PACS/Picture Achiving Communation System) 등을 포함하는 병원정보시스템(HIS/Hospital Information System)을 중심으로 매우 신속하고 정확한 처리가 필수 요건이다.

아울러 의료법 등 20여 종에 달하는 의료 관계 법령과 2011년 시행된 개인정보보호법 등 병원에서 처리하는 환자의 개인정보(인적사항을 포함하여 치료내역, 병력정보 등 포괄)에 대한 관리적 기술적 보호조치를 모두 수행해야 한다.

앞서 언급한 바와 같이 병원의 정보보호관리체계(ISMS) 인증을 획득하기 위해서는 사전 준비단계를 포함하여 최소 6개월 이상이 시간이 필요하다. 전제 조건으로는 해당 병원에 관리적, 기술적, 물리적 분야별 정보보호 담당자가 필요(법적요건은 아님)하고, 해당 담당자들이 ISMS 인증 기준을 숙지하고 있어야 한다.

ISMS 인증 기준은 5개 영역의 관리과정 요구사항과 13개 영역의 정보보호대책 통제사항으로 구성되어 있으며, 세부적인 통제내역을 모두 나열하면 400개 이상의 방대한 정보보호 업무를 수반한다.

5개 영역의 관리과정 요구사항에서는 정보보호 정책의 수립, 정보보호 조직의 구성, 정보자산의 식별 및 위험평가, 정보보호 대책의 구현, 법적 요구사항 검토 및 내부감사 등 ISMS 운영 전반에 대한 인증 기준을 정하고 있으며 관리과정에 대한 준비가 미흡한 경우에는 ISMS 인증 심사과정에서 중대한 결함 사유로 지적될 수 있다.

13개 영역의 정보보호대책 통제사항에서는 정책, 조직, 외부자, 자산분류, 교육, 인적, 물리적 보안과 함께 개발보안, 암호통제, 접근통제, 운영보안, 사고관리, 재해복구 등 관리적/물리적/기술적 통제사항(인증기준)을 세부적으로 정하고 있다. 특히 접근통제 영역과 운영보안 영역의 경우, 정보화 부문에서 진행하고 있는 방대한 량의 기술적인 정보보호 통제현황을 현재 적용하고 있거나, 향후 적용을 검토해야 한다.

접근통제 영역의 경우, 접근권한 정책 수립, 접근권한 부여 및 검토, 사용자 인증 및 식별, 패스워드 관리와 함께 서버/네트워크/응용프로그램/데이터베이스/모바일기기 등 영역별 기술 보안조치를 매우 세부적이고 구체적으로 수행해야 한다.

운영보안 영역의 경우, 시스템의 운영절차 수립과 변경관리 및 운영보안, 성능관리, 장애관리, 원격관리 등을 수행해야 하고, 무선보안, 공개서버 보안, 백업관리 등 기술 보안조치를 실행해야 한다. 아울러 USB 저장장치 등의 매체보안, Virus 등 악성코드 관리와 함께 로그관리 및 모니터링 업무를 수행토록 정하고 있다.

이상에서 살펴본 바와 같이 병원의 ISMS 인증을 추진하기 위해서는 정보보호 담당자의 인증 업무에 대한 지식과 경험이 절실하며 아울러 병원 정보화 업무에 대한 전반적인 이해와 전사적인 관점의 정보보호 체계 운영을 조율할 수 있는 업무 역량이 반드시 필요하고 조직 차원의 정보보호 관련 지원을 전제로 한다.

지난 11월 3일 코엑스에서 대한병원협회 주관으로 진행된 '제9회 병원 의료정보화 발전 포럼'을 통해 미래창조과학부가 발표한 '1년간 추가 인증 기간 부여 (2017년말까지 과태료 부과 유예)'에 따라 상반기부터 ISMS 인증 컨설팅을 추진하던 많은 병원들이 현재 컨설팅을 보류하거나 자체 추진하는 방향으로 업무를 선회하고 있는 것이 현실이다.

그러나 분명한 것은 과태료 부과를 유예한 금번 처분은 정보보호 관리체계 인증 자체를 유예한 것이 아니므로, 병원 정보화 부문에 속한 정보보호 담당자들은 2017년(혹은 2018년) 인증 추진에 대비하여 인증 기준을 숙지하고 필요한 경우에는 외부 교육이나 정보보호 전문가 또는 정보보호 전문 기관과의 업무적인 연계를 체계적으로 준비해야 할 것이다.

위와 같은 준비를 간과할 경우, 2016년에 발생한 업무적인 혼란은 내년 혹은 후년에 재발할 것이 명확하고, 혼란의 과정에서 정보보호 사고가 발생한다면 그에 따른 손실 비용 등은 우리 사회 모두가 피해를 감수해야 하므로 이에 대한 구체적이고 철저한 대비가 바로 지금 필요하다.
 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사