국내 바이오헬스 기업들이 자체 보안 솔루션을 개발하거나 국제 인증을 획득하는 등 보안 시스템 강화에 힘을 싣고 있다.
의료산업 디지털 전환이 가속화하면서 이전보다 편리한 서비스를 누릴 수 있게 됐지만 각종 사이버 범죄 노출 사례는 늘어나고 있기 때문이다.
특히 업체들은 의료 데이터 활용 사례가 더욱 확대될 것으로 예상되는 만큼 위협 요인에 선제적으로 대응해가겠단 전략이다.
현재 보안 시스템 구축에 앞자서고 있는 곳은 라이프시맨틱스가 꼽힌다.
이 회사는 개인건강기록(PHR) 상용화 플랫폼 ‘라이프레코드(LifeRecord)’를 기반으로 비대면 진료, 디지털치료기기, 의료 마이데이터 사업 등을 영위하고 있다.
라이프레코드는 개인건강기록(PHR) 클라우드 서비스로, 현재까지 플랫폼 구축에 활용된 의료 데이터 수는 약 8억 건 이상이다. 특히 라이프시맨틱스 솔루션들의 주축이 되면서 보안체계 강화에도 총력을 기울이는 모습이다.
실제 라이프레코드는 국제표준기구 보안인증(ISO27001, 27017, 27701, 27799)을 비롯해 헬스케어 분야에서 중소기업 최초로 개인정보보호 관리체계(PIMS) 인증 및 미국 의료정보보호법(HIPAA) 적합성 인증을 받았다.
작년 8월에는 비대면 진료 플랫폼 업계 처음으로 한국인터넷진흥원으로부터 정보보호-개인정보보호 관리체계(ISMS-P)인증도 획득했다.
회사는 높은 안전성과 보안 수준으로 삼성생명 및 KB손해보험, 한화생명보험 등 국내 보험사와 계약을 체결하며 사업 성과도 올리고 있다.
국민건강보험공단, 한국토지주택공사 등 공공기관 및 정부 B2G 사업 파트너로도 활약하고 있다.
의료 인공지능(AI) 솔루션 기업 코어라인소프트도 ‘가명화 서버’ 프로그램을 개발해 병·의원과 기업 등에 제공하고 있다.
가명화 서버는 CT, MRI 등 장비 모든 데이터를 저장하고 관리하는 동시에 환자 신체표면 데이터를 복원할 수 없게 가명화 처리하는 프로그램이다.
환자는 흔히 체내 흉부만 촬영된다고 생각하기에 해당 영상으로 본인이 식별되지 않는다고 생각한다. 하지만 ‘복원기술’을 활용하면 CT 영상 이용해 흉부 표면까지 복원해 개인을 식별해 낼 수도 있다.
이러한 개인정보 노출의 위험을 차단하고 가명정보를 활용한 연구의 활성화를 위해 보건복지부는 지난해 보건의료데이터 가이드라인 개정을 통해 ‘영상정보 가명처리’ 기준을 명확히 했다.
영상정보 이미지 상의 특정 개인을 식별할 수 있는 신체적 특징은 삭제 또는 모자이크 처리, 표면 가장자리 삭제 등 방법으로 처리해야 한다.
데이터 하나하나를 수동으로 모자이크 처리, 가명화를 하려면 처리시간이 길고 복잡하다. 코어라인소프트 가명화 서버는 지정 장비 데이터를 한번에 모두 가명화 처리 할 수 있어 인건비와 시간을 절약할 수 있다는 장점이 있다.
코어라인소프트 관계자는 "현재 고대안산병원과 서울대병원 데이터 사이언스 연구부에서 해당 프로그램을 도입해 사용하고 있으며 관련 문의도 증가하고 있다"고 말했다.
보안 업계에서도 의료기기에 특화한 솔루션을 출시하고 있다.
글로벌 보안 솔루션 기업 팔로알토 네트웍스는 의료기기에 대한 총체적 보안을 돕는 ‘메디컬 IoT 시큐리티(Medical IoT Security)’ 솔루션을 출시했다.
이 솔루션은 자동화된 디바이스 검색, 상황별 세분화, 최소 권한 정책 권장 사항 및 원클릭 정책 적용 등 원활하고 단순화된 방식으로 차세대 보안 개념인 ‘제로 트러스트’ 접근 방식을 제공한다.
주요 기능은 ▲자동화된 보안 응답을 통한 디바이스 규칙 생성 ▲제로 트러스트 정책 권장 사항 및 적용 자동화 ▲디바이스 취약성 및 위험 태세 진단 ▲컴플라이언스 향상 ▲네트워크 세그멘테이션 검증 ▲운영 단순화 등이다.
메디컬 IoT 시큐리티는 소량의 데이터만 전송하는 의료기기가 예기치 않게 많은 대역폭을 사용하기 시작하면 자동으로 해당 기기 인터넷을 차단하고 보안팀에 알림이 전송된다.
또 차세대 방화벽 또는 네트워크 지원 기술을 통해 한 번의 클릭으로 의료 기기에 대해 권장되는 최소 권한 액세스 정책을 부여할 수 있다.
헬스케어 산업에서 보안 중요성이 강조되는 이유는 개인 민감정보를 노리는 사이버 공격 사례가 늘어나고 있기 때문이다.
실제 이달 초 중견 제약사 한독은 랜섬웨어 조직 공격으로 보관 중인 의사, 약사 이름과 소속 의료기관, 전공, 이메일 주소, 핸드폰 번호 등 개인정보가 유출됐다.
이에 식품의약품안전처는 이달 ‘의료기기 소프트웨어 허가·심사 가이드라인’을 개정하고 사이버 보안에 영향을 미치는 통신기능 등을 변경할 때 업그레이드의 구체적인 사례 등을 제시했다.
업계 관계자는 "의료산업 디지털 전환이 가속화되면서 이전보다 편리한 의료 서비스를 누릴 수 있게 됐지만 사이버 범죄 사례는 해마다 증가하고 있다"며 "보안체계를 지속적으로 고도화해갈 필요가 있다"고 말했다.
구교윤 기자 (
