의료기관에도 금융권에 정착한 ‘5·5·7’ 규정이 필요하다는 조언이 나왔다.

의료기관이 보유한 민감하고 소중한 환자 개인정보에 해커 집단이 눈독 들이지 못하게 하는 최소한의 방어선이라는 이유에서다.

이 같은 주장은 대한병원협회(회장 윤동섭)가 11월 22일 분당서울대학교병원 헬스케어혁신파크 대강당에서 개최한 ‘제18회 병원 의료정보화 발전 포럼’의 첫 번째 강연자인 한근희 고려대학교 정보보호대학원 연구교수로부터 제기됐다.

이날 한근희 연구교수는 ‘의료기관 개인정보보호 조직 운영에 대한 현재와 미래’를 주제로 연단에 섰다.

한근희 연구교수의 설명에 따르면 민감한 개인정보보호를 방대하게 지닌 의료기관은 그 어느 곳보다 정보보호 기술 및 인력의 확보가 중요하다.

문제는 대부분의 의료기관이 정보보호의 중요성을 알고 있음에도 예산 확보 등의 문제로 인해 만족할 만큼 충분한 조직을 갖추지 못하고 있다는 점이다.

한근희 연구교수는 “결국 개인정보 보안은 사람이 가장 중요한데, 전국 상급종합병원의 정보보호 기술 및 내부인력 현황을 살펴보면 17곳은 1명, 심지어 3곳은 그 1명조차 없다”고 우려했다.

이에 의료기관에도 ‘5·5·7’ 규정을 도입해 외부 세력의 해킹 공격으로부터 환자의 정보를 더욱 안전하게 보호해야 한다고 강조한 한근희 연구교수다.

‘5·5·7’ 규정이란 금융기관 전자금융감독규정 중 하나로, 2011년 신용카드사 개인정보 유출 대란 이후 금융위원회가 마련한 전자금융 운용 강화 대책이다.

금융회사가 운영하는 △전체 인력의 5% 이상 IT 인력을 확보하고 △전체 IT 인력의 5% 이상 보안인력을 확보하며 △전체 IT 예산의 7% 이상 보안예산을 확보하도록 권고한 조항이다.

당시 ‘5·5·7’ 규정은 권고 수준이었으나, 전자금융감독규정 내에서 운영됨에 따라 경우에 따라 금융감독원 등이 감사 등을 통해 과태료 부과 등 행정조치가 가능했기에 사실상 금융기관의 부담으로 작용했다.

하지만 대형 금융기관을 중심으로 좀 더 철저한 개인정보보호 체계 도입의 필요성이 거듭 강조되면서 현재는 금융권 전반에 안정적으로 정착된 규정으로 알려졌다.

한 연구교수는 “모든 금융기관을 긴장하게 만든 카드대란보다 더욱 민감한 정보를 다수 보유한 의료기관에 되돌릴 수 없는 피해를 입히는 심각한 개인정보 유출 사고가 발생하기 전에 ‘5·5·7’ 규정을 선제적으로 도입할 필요가 있다”고 역설했다.

즉, ‘5·5·7’ 규정이라고 딱딱하게 표현하긴 했지만, 의료기관도 한정된 인력으로 개인정보 보안성 강화를 효과적으로 수행할 수 있는 방안을 마련하기 위해 관련 조직 구성에 대한 고민을 시작할 때라는 한 연구교수의 조언인 것.

특히, 한 연구교수는 의료기관의 최고경영자가 개인정보보호 최고책임자인 ‘CPO(Chief Privacy Officer)’를 적절히 임명하고 관련 법령에 따른 충분한 권한을 부여하고 있는지 돌아봐야 한다고 지적했다.

의료기관을 비롯해 대부분의 민간기업은 개인정보 처리업무 관련 임원이 존재하는데도 불구하고 부서장을 CPO로 지정하거나 인사발령 등의 공식적인 지정절차를 거치지 않는 경우가 흔하다.

실질적인 권한은 없고 보안사고 발생 시 책임만 지게 하는 형태는 바람직한 CPO 업무수행이 아니라는 의미다.

한 연구교수는 “상급종합병원조차 정보보호 인력이 평균 0~1명이므로 CPO로 지정하더라도 의료기관 내 직급이 낮아 개인정보 취급자들의 통제 및 협조가 어려운 점을 고려하고 대부분 의사가 맡고 있는 현실을 감안해 겸직을 허용해야 한다”고 말했다.

그는 이어 “실질적인 업무수행을 독립적으로 수행하도록 전사적 권한을 행사할 수 있는 임원으로 CPO를 선임하는 게 바람직하다”며 “아울러 표면만 임원이 아닌 다른 임원들과 상호 협조하는 수평 관계로서의 역량을 발휘하도록 해야 한다”고 덧붙였다.

정윤식 기자 다른기사 보기