[데일리메디 박성은 기자] 지난 2017년부터 국내에서 합법화된 의료 클라우드 서비스는 사물인터넷, 빅데이터 등을 이용한 최신 의료기술의 기반이며 의료IT 인프라 구축 및 관리 비용을 절약할 수 있는 것으로 나타났다.

반면 사용자 도용 및 시스템 취약성, 호스트 위장 등으로 인한 보안 위험도 커 대책이 마련돼야 한다는 견해다.

 

전인석 건국대학교 겸임교수이자 안랩 선임연구원은 최근 열린 ‘제7회 스마트의료 정보보호 컨퍼런스 2019’에서 의료 클라우드 서비스 운영 시 위험에 대한 사전 대처법을 공개했다.

 

위험 요소 차단을 위해서는 우선 관련 의료환경 및 법적 규제를 파악하고 정확한 정보에 입각한 이해관계자들의 적극적인 참여다.

 

또 안전한 클라우드 서비스 공급자를 선택하고 명확한 계약 및 SLA(서비스 수준 협약서)를 맺는 것도 중요하다.

 

의료정보시스템 도입을 위해서는 우선 어떤 규제 환경 속에서 의료기관이 기술을 도입하게 되는지 파악할 필요가 있다.

 

전인석 교수는 “클라우드발전법, 개인정보보호법(PIPA), 정보통신망법, 의료법(MSA), 전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준, 클라우드 컴퓨팅 서비스 정보보호에 관한 기준 등 관련 법규 및 기준을 파악하고 국제표준을 참고해야 한다”고 조언했다.

 

다음으로 핵심 이해관계자 팀 편성 및 비즈니스 사례 개발이다.

 

클라우드 서비스를 도입하게 만드는 운영, 상업, 진료 서비스 측면 등의 요인에 초점을 맞춰 비즈니스 사례를 주도적으로 개발하는 것이 필요하다는 것이다.

 

전 교수는 “기술 프로젝트에서 법무, 위험 및 규정 준수 팀이 너무 늦게 참여함으로써 일정이 지연되는 경우가 많이 발생한다”며 “초기에 보안 위협 요소들을 도출해야 한다”고 덧붙였다.

 

안전한 클라우드 서비스 공급자 선택을 위해서는 개인정보 보호를 위한 조치를 요구하는 PIPA 및 정보통신망법에 따른 요구사항을 충족하는지 확인해야 한다.

 

전 교수는 “민감한 의료정보라는 특성상 당연히 보안이 확실한 클라우드 솔루션을 선택해야 한다”고 강조했다.

 

ISO/IEC 27001 및 ISO/IEC 27018과 같은 국제 보안 표준을 준수하는지 확인하는 것도 하나의 방법으로 제시됐다.

 

규정 준수를 지속 평가할 수 있는 적절한 수단을 클라우드 서비스 공급자가 제공하고 있는지 확인하는 것 또한 필요하다.

 

보건복지부 고시에 따라 전자의무기록은 국내에서만 저장 가능하기에 특정 범주의 데이터가 한국 내에서만 저장되도록 서비스를 구성할 수 있는지 여부도 확인해야 한다.

 

더불어 네트워크시스템 모니터링을 요구하는 복지부 요구에 따르기 위해 클라우드 서비스공급자가 서비스 성능에 대한 실시간 정보를 제공하는지 여부를 알아볼 필요도 있다.

 

계약 및 SLA에서는 민감한 의료정보를 안전하게 반환·삭제하는 것에 대한 보증이 있어야 한다

 

사용자 유지 의무를 준수하기 위해 클라우드 서비스 공급자가 클라우드에 저장된 정보의 기밀 유지에 관해 구속력 있는 약속을 하고 있는지 확인하는 것도 언급됐다.

 

클라우드 특성상 비즈니스 연속성 및 복원성 문제를 해결하기 위해 재해복구 및 비즈니스 연속성 계획과 적절한 테스트 절차를 계약에 포함하는 것 또한 중요하다.

 

전 교수는 “의료 클라우드 서비스 운영에서 위험 요소란 것은 제거할 수 없다. 이를 사전에 파악하고 억제하는 것이 중요하다”고 강조했다.