법·제도적, 기술적, 관리적 측면 보완 과정 중 병협과의 긴밀한 협력 강조
정부의 의료기관 정보보안 강화 추진에 있어서 보건복지부 의료정보보호센터와 대한병원협회 간 협력이 중요한 열쇠가 될 전망이다.
정보보안 강화 과정에서 취약점 점검 및 모의훈련 등이 중요한 만큼 적극적인 참여 유도를 위해 병협의 관심과 참여가 반드시 수반돼야 한다는 것.
노치형 복지부 정보보호팀 사무관은 11월 22일 분당서울대학교병원 헬스케어혁신파크에서 개최된 ‘제18회 병원 의료정보화 발전 포럼’을 통해 의료기관 정보보안 강화 추진 방향을 소개했다.
노치형 사무관의 설명에 따르면 의료분야의 정보보안 침해 사례는 발생 통계 자체도 낮은 편이 아니지만, 그 피해 규모는 모든 업종에서 탑(TOP)이다.
실제로 2022년 SK 쉴더스가 조사한 ‘EQST Annual Report’ 결과 의료분야의 정보보안 침해 사례는 국내 발생과 국외 발생 모두 제조업에 이어 2위다.
문제는 데이터 유출 시 필연적으로 뒤따르는 재정적 손실의 규모인데, 의료분야는 금융, 제약, 에너지, 제조업, 공공·정부 등 전 산업군에서 압도적 1위를 13년 연속 기록했다.
심지어 2위인 금융분야와의 격차는 2배 이상으로 벌어진 지 오래.
의료기관 정보보안 사고의 심각함을 인식한 정부는 복지부를 통해 의료정보보호센터를 운영하고 있다.
의료정보보호센터는 △보안관제 서비스 △안티 랜섬웨어 지원 △수준진단 △위협정보 공유 △침해사고 신고·접수 △인식 개선 수행 등의 업무를 한다.
특히 대한의사협회, 대한치과의사협회, 대한약사회, 대한한의사협회, 대한한방병원협회, 대한한약사회 6개 의료기관은 건강보험심사평가원의 개인정보보호 자율규제 제도를 적용받고 있으나 병협은 한국인터넷진흥원이 전문기관으로서 개인정보보호 활동을 직접 지원하기도 한다.
하지만 현재 의료정보보호센터의 정보보안 지원은 여러 측면에서 한계점을 보인다는 게 노치형 사무관의 설명이다.
우선, 사후적 대응 위주여서 예방적 규제가 미흡하고 침해사고의 범위가 전자의무기록(EMR)에 대한 전자적 침해행위로 한정돼 있다.
아울러 예산 부족 및 보안 인력 부족 등의 이유로 보안관제 서비스와 보안 취약점 점검 서비스 참여율이 저조하고, 이에 사고대응 절차를 위반하는 일이 많아 형식적인 개인정보보호 자율규제 활동으로 이어지는 경우가 다반사다.
게다가 보안관제라는 용어에서 생기는 거부감 즉, 의료기관들이 복지부의 감시를 받는 것 아니냐는 인식 때문에 홍보조차 여의치 않은 상황.
노치형 사무관은 “그간의 운영 과정 중 한계점을 확실히 알게된만큼 향후 의료기관 정보보안 강화를 추진하려고 한다”며 “크게 법·제도 측면, 기술적 보안 측면, 관리적 보안 측면으로 나눌 수 있는데 병원계의 적극적인 참여가 절실하다”고 호소했다.
구체적인 계획을 살펴보면 법·제도 측면에서는 의료기관 보안 강화를 위한 의료법 개정을 지원하고 EMR 보안성 강화를 위해 인증기준을 개선한다.
또한 주요정보통신기반 시설 지정을 확대해 소규모 의료기관들까지 꼼꼼히 챙길 방침이다.
기술적 보안 측면에서는 의료정보보안센터의 역할을 보다 강화해 민간전문업체보다 저렴하고 다양한 서비스 지원을 확대한다.
현재 의료정보보호센터의 서비스를 이용하기 위해서는 상급종합병원의 경우 연 1,200만~1,800만 원, 종합병원은 연 300만~500만 원의 회비를 납부해야 한다.
이마저도 의료기관이 부담을 느낄 수 있다는 판단 하에 의료정보보호센터는 기반시설 지정(30%), 위협 대응 우수기관(10%), 정보보호활동 참여(10%), 보안 수준 향상(10%) 등에 비용 할인을 도입하고 관제 필수 장비인 ESM 및 VPN 등을 대여한다.
이와 함께 정보시스템 및 홈페이지 취약점 진단, 기관별 맞춤형 보안 보고서 제공, 24시간 365일 위협 탐지 및 대응 지원, 보안위협 정보 제공 등을 주요 무료 서비스로 도입한 의료정보보호센터다.
이는 민간전문업체를 이용할 시 연 2,000만 원가량에 달하는 비용, 보안위협 탐지 정책 관리 및 대응 지원 정도에 그치는 서비스에 비해 효율적·효과적이라고 강조한 노치형 사무관이다.
관리적 보안 측면에서는 지속적인 교육과 홍보를 병행 추진하고 사고 신고 및 보안관제 등의 접근성을 높여 사이버 위기 예·경보 긴급공지 전파 활동을 강화할 예정이다.
이처럼 복지부 의료정보보호센터의 의지와 계획도 중요하나, 무엇보다 병원계의 적극적인 참여를 이끌어 내기 위해서는 병협과의 협력이 핵심 열쇠가 될 전망이다.
노 사무관은 “의료분야의 정보보안 중요성은 한 번 사고가 발생할 경우 호재와 지진 등 재난 수준 이상의 피해를 유발한다는 점에서 비용이 아닌 투자로 인식해야 한다”며 “보안관제, 취약점 점검, 모의훈련 등 보안강화 활동에 있어서 병협과 의료정보보호센터 간의 긴밀한 협력이 필요하다”고 부탁했다.
