병원 사이버 공격 방지·빅데이터 활용 노하우 공유
상태바
병원 사이버 공격 방지·빅데이터 활용 노하우 공유
  • 최관식 기자
  • 승인 2022.10.04 06:00
  • 댓글 0
이 기사를 공유합니다

2022년 대한병원정보협회 추계학술대회
병원정보보안협의회 박종환 회장이 인사말을 하고 있다.
병원정보보안협의회 박종환 회장이 인사말을 하고 있다.

대한병원정보협회는 ‘KHF 2022’ 기간인 9월 29~30일 제4세미나실에서 학술대회를 개최하고 병원에 대한 사이버 공격을 방지하고 환자의 개인정보 보호 및 가명 혹은 익명처리를 통한 빅데이터 활용, 각종 인증 경험 등 다양한 병원정보 노하우를 공유했다.

이날 학술대회에서 박종환 병원정보보안협의회 회장(삼성서울병원 정보보호최고책임자·CISO·상무)은 인사말을 통해 “병원은 개인정보를 많이 보관하고 있어 해킹 시도가 많은 기관”이라며 “병원보안협의회는 많은 고민 끝에 이번 세미나에 해킹 관련된 내용을 많이 준비했다”고 말했다.

이어진 학술 발표회에서는 용인세브란스병원 신용한 과장이 ‘용인세브란스병원 정보보호 활동 현황’에 대해 소개했다.

신 과장은 “병원 규모와 관련없이 정보보호는 모든 병원에 꼭 필요한 활동”이라며 개원 3년차에 접어든 용인세브란스병원이 병원정보와 관련해 무에서 유를 창조해 나가는 과정을 소개했다.

이어 경희의료원 정보보호팀 김형식 파트장은 ‘정보보호공시 자료 분석’ 발표를 통해 “정보보호산업의 진흥에 관한 법률 시행령 제8조 1항에 따라 모든 상급종합병원은 의무 공시 대상”이라며 “정보보호 투자현황 준비자료와 정보보호 인력현황 준비자료를 제출해야 한다”고 설명했다.

김 파트장은 이어 “컨설팅을 받은 기업 또는 회계 법인이나 정보시스템 감리법인으로부터 공시 내용에 대해 사전점검을 받고 확인서를 제출한 기업을 제외한 모든 기업은 사후 검증대상이 될 수 있다”며 경희의료원의 정보보호공시 결과를 소개했다.

경희의료원은 협력 감리업체를 통해 사전감리 후 공시를 했고, 정보보호공시를 위한 유관부서 실무협의체를 구성하고 매년 진행할 정보보호공시를 위해 실무협의체와의 프로세스를 마련했다고 밝혔다.

김형식 파트장은 전국 상급종합병원 중 국공립대학병원을 제외한 나머지 상급종합병원 정보보호공시 현황 분석을 통해 정보기술부문 투자액이 병원별로 최대 618억원에서 최저 17억원이며, 1병상당 투자액은 최대 3,097만원에서 최저 202만원 수준이라고 소개했다.

직원수 대비 투자액은 최대 883만원에서 최저 82만원이었고 정보보호부문 인력은 최대 147명에서 최저 8명이라고 밝혔다.

그는 “정보보호부문 투자 규모는 병원마다 차이가 크지만 장비 교체 등 신규 수요를 감안해서 들여다봐야 한다”고 말했다.

대한병원정보협회는 ‘KHF 2022’ 기간인 9월 29~30일 제4세미나실에서 학술대회를 개최했다.
대한병원정보협회는 ‘KHF 2022’ 기간인 9월 29~30일 제4세미나실에서 학술대회를 개최했다.

국립암센터 정보보호팀 유기청 팀장은 ‘임상연구데이터웨어하우스(CRDW)의 ISMS-P 인증 사례’를 통해 우리나라 최초의 ISMS-P 인증 경험을 소개했다.

유 팀장은 “가명정보 활용 등 개인정보 범위의 확대에 따라 개인정보 수집 및 처리 등 개인정보 강화 필요성이 제기됐다”며 “특히 국립암센터가 2021년 9월 국가암데이터센터로 지정돼 결합전문기관 역할도 수행하게 됨에 따라 대국민 신뢰성 확보와 안전한 결합환경 보장을 위한 관리체계 확립이 필요했다”고 말했다.

그는 기존의 정보보호관리체계(ISMS)와 ISMS-P는 인증항목에서 차이가 있지만 ISMS-P 인증은 의무사항이 아니고 자율적으로 신청할 수 있다고 소개했다. ISMS-P는 정보보호관리체계 외에 개인정보보호체계에 대한 추가적인 인증을 포함, 인증 범위의 폭이 넓고 관련 지침과 자산, 조직, 사람 등 서비스와 관련된 전반적인 사항을 모두 점검한다고 설명했다.

유 팀장은 “인증유형의 선택이 가장 중요한 문제”라며 “ISMS-P는 개인정보처리 서비스 단위로 선택적 인증이 가능하다는 점이 특징이며 개인정보 업무 흐름을 파악하는 게 중요하다”고 강조했다.

ISMS-P 인증을 위해서는 기본적인 ISMS 인증 준비사항을 포함해 인증대상 서비스에 대한 명확한 범위를 설정하고 개인정보 처리 관련 지침의 사전 정비 및 개인정보 처리 서비스별 개인정보 업무처리 흐름에 대한 명확한 정의와 조직별, 개인별 명확한 업무분장이 이뤄져야 한다고 설명했다.

또 임상연구데이터웨어하우스(CRDW)에 대한 독립적 인증을 위해서는 의료정보시스템과 독립된 가명처리 기반의 CRDW 플랫폼이 필요하며 의료정보시스템과 연계된 서비스인 경우 심사대상 검토에 혼란이 초래될 수 있다고 지적했다.

세브란스병원 디지털헬스실 최윤송 과장은 ‘연세의료원 DRB 활용 사례’ 발표에서 “개인정보란 살아있는 개인에 관한 정보로 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보와 해당 정보 만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보”라며 “가명정보는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리한 정보를, 익명정보란 더 이상 특정 개인인 정보주체를 알아볼 수 없도록 한 정보를 말한다”고 소개했다.

그는 기관 내 안전한 가명/익명 데이터 활용을 심의하기 위한 데이터심의위원회(DRB) 설치·운영과 관련해 위원 구성은 5~15인 이하로 구성하되 해당 기관에 소속되지 않은 위원이 과반수를 차지하고 △정보 주체를 대변하는 자 1인 이상 △의료 분야 데이터 활용 전문가 1인 이상 △정보보호 또는 법률 분야 전문가 1인 이상이 반드시 포함돼야 한다고 설명했다.

최윤송 과장은 이어진 질의응답에서 DRB 심의 시 자주 지적되는 사항과 관련해 △재식별 우려가 있는 실명 정보 및 민감정보는 별도의 사유 없이는 DRB 승인이 불가능 △데이터 활용 연구는 원내 분석이 원칙이며 반출되는 기관이 영리기관인 경우 승인이 어려울 수 있으며 정보보안팀에서 반출기관의 보안적절성을 검토해 적절한 경우에만 허용된다고 설명했다.

또 DRB 심의가 필요한 경우는 △연구용 데이터 신청 △SCRAP-A 사용 연구 △데이터 외부반출 연구며 DRB 심의 대상이 아닌 경우는 △데이터를 직접 추출해 연구자가 가공 및 가명화해 원내에서 진행하는 연구 △U-Severance, SCRAP 외의 데이터를 사용하는 연구(예 : 인체유래물 은행으로부터 제공받은 검체를 스캔한 데이터를 사용하는 연구)라고 소개했다.

DRB 규정을 미준수했을 때의 조치와 관련해 최 과장은 “아직까지 데이터활용 가이드라인에 대한 법적인 규제는 없다”며 “단, 연구자의 데이터 관리 소홀 및 부적절한 가명화 처리 등에 의한 사고 발생 시 개인정보보호법, 의료법 등 관련 법률에 의거해 처벌 받을 수 있다”고 답했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사