정보통신기술 발달은 인류의 삶을 한층 윤택하게 만들었지만 한켠으로는 보안의 굴레를 공존케 하고 있다. 특히 민감한 환자정보를 다루는 의료 분야는 보안의 중요성이 배가된다. 최근에는 의료 인공지능(AI), 클라우드 의료정보시스템 등 보다 진일보된 시스템이 속속 도입되고, 그에 따른 각종 제도가 시행되면서 병원들은 높아진 편의성 만큼이나 신경 써야 할 요소가 늘어났다. 이에 병원계 보안 담당자들로 구성된 병원정보보안협회(회장 박종환, 삼성서울병원 CISO)는 지난해에 이어 2024년에도 의료환경서 주목해야 할 10대 정보보안 키워드를 선정, 발표했다.
생성형 인공지능(AI, Artificial Intelligence) 보안
Chat GPT로 대표되는 생성형 AI 기술 발전은 다양한 혁신을 가져왔지만 손쉽게 악성코드를 제작하거나 음성 위·변조 등 다양한 사이버 공격에 악용될 가능성이 커졌음을 의미한다.
잘못된 정보, 데이터 유출 등 생성형 AI 기술 오용은 개인정보 보호를 위협할 뿐 아니라 사회적 혼란을 조장할 수 있어 사이버 범죄와 다양한 보안 위협이 야기될 것으로 전망된다.
이에 따라 병원들은 생성형 AI에 개인정보 등 민감한 정보 입력을 금지하고 생성물에 대한 정확성, 윤리성 등에 대한 검증 및 생성형 AI를 악용한 사이버 범죄에 적극 대응해야 한다.
CPO(개인정보 보호책임자) 지정 의무화
오는 3월 15일부터 상급종합병원에 CPO(Chief Privacy Officer, 개인정보 보호책임자) 지정이 의무화된다.
의료기관이 보유한 의료정보 보호 중요성이 강조되고 상황에서 CPO에게 요구되는 자격요건을 도입해 병원의 개인정보 보호 수준이 한층 강화되는 계기가 될 것으로 전망된다.
개인정보보호위원회에서는 올해 초 상급종합병원 CPO 지정을 위한 가이드라인을 만들고 의료기관에 배포할 예정이다.
개인정보 보호법 위반 과징금 제도 변경
지난해 9월 15일 개인정보 보호법이 전면 개정되면서 법규 위반 시 과징금 제도가 변경됐다. 과징금 상한액을 위반행위와 관련된 전체 매출액을 기준으로 최대 3%로 산정토록 했다.
이러한 위반 행위는 발생할 수 있고 제재 시 천문학적인 비용을 납부할 수 있기 때문에 이에 대한 대응책 마련이 시급하다.
개인정보보호 배상책임보험 가입 등을 통해 이를 대비하는 게 필요하고, 과징금 부과 시 이의 신청 등 적극적인 대응을 통해 금액을 경감토록 해야 한다.
의료기관 ISMS-P(정보보호 관리체계) 인증
의료기관에서의 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증이 본격화될 전망이다.
지난해 국립암센터가 빅데이터 운영시스템에 대한 ISMS-P 인증을 받았고, 분당서울대병원은 EMR을 포함한 병원정보시스템 전체에 심사를 받고 최종 판정을 기다리는 중이다.
이처럼 의료기관에서의 ISMS-P 인증 요구가 계속됨에 따라 지난해 12월 개인정보보호위원회는 국내 유수 대학병원들과 의료기관의 ISMS-P 인증범위 설정 등에 대한 논의를 가졌다.
의료 분야 공급망 해킹 당하면 대규모 피해 초래
최근의 사이버 공격은 피해가 해킹 당한 조직에만 국한되지 않고 그 조직과 관련 있는 모든 것들에 영향을 끼치고 있다.
때문에 강조되는 게 바로 ‘공급망 보안’이다. 복잡한 공급망의 한 지점만 침투하면 공급망에 연결된 모든 조직을 공격할 수 있고 대규모 피해를 야기할 수 있다.
최근 의료정보시스템의 취약점을 이용한 공급망 공격이 다수 보고되고 있으며, 의료분야 해킹은 의료정보 유출, 결제 정보 손실, 진료 중단 등으로 이어질 수 있어 대응이 필요하다.
다중 인증(MFA) 필요성 부상
‘다중 인증(MFA, Multi Factor Authentication)’이란 정보 자원에 대한 접근 권한을 부여받기 위해 적어도 두 가지 이상 확인 요소를 제공해야 하는 인증 방법이다.
의료 분야에서는 의료정보시스템을 중심으로 ID와 패스워드를 입력하는 전통적인 방식을 사용했으나 사용자 인증에 대한 다양한 문제가 발생해 새로운 인증체계가 요구되고 있다.
특히 ID 공유로 나타나는 오남용과 보안 취약점을 해결하기 위한 FIDO(Fast Identity Online) 등이 해결책으로 떠오르고 있다.
업무망-인터넷망 분리
업무망과 인터넷망 분리는 랜섬웨어, 해킹 등으로부터 내부 시스템을 보호하고 개인정보 유출을 근본적으로 해결할 수 있는 가장 효과적인 방법으로 알려져 있다.
개인정보 보호법에서는 외부에서 개인정보처리시스템에 접속할 수 있고 100만 이상 개인정보를 보유하는 경우 망분리를 하도록 돼 있다.
이전까지 의료정보시스템은 내부에서만 접속할 수 있는 폐쇄적인 환경에서 운영됐으나, 최근 모바일 시스템, 재택근무 등으로 인해 외부 접속을 허용하는 방향으로 변화하고 있다.
이에 따라 많은 병원들이 망분리를 도입 추진 중이거나 검토하고 있다.
원격의료 보안
코로나19 유행 이후 전 세계는 비대면 사회로 급속히 전환됐고, 의료 분야 역시 많은 영향을 받아 우리나라에서도 원격의료에 대한 논의가 본격화 되고 있다.
정부는 코로나19 상황에서 한시적으로 원격진료를 허용하고 있어 향후 이에 대한 구체적인 논의가 필요할 전망이다.
의료정보는 환자 생명과 직접 연결되는 만큼 신뢰성 보장이 필수적이다. 원격의료를 위해서는 사용자 인증, 민감정보 유출 방지, 의료사고 발생 시 책임소재 등이 명확히 규정돼야 한다.
업무연속성과 회복탄력성
2022년 카카오 서비스 중단 사고, 2023년 정부 행정전산망 네트워크 장애를 계기로 사이버 재난에 대한 대비 및 복구의 중요성이 강조되고 있다.
특히 의료환경에서는 재난 발생 시 회복탄력성을 강화해 재난을 견디고 의료서비스를 계속할 수 있는 업무 연속성에 대한 요구가 높아지고 있다.
EMR 도입 후 병원의 모든 프로세스가 IT에 의존적인 상황에서 안정적인 운영은 병원의 업무연속성과 회복탄력성을 확보하는데 필수적이다.
모든 것을 의심하고 확인하라(Never Trust, Always Verify)
최근 병원의 정보환경은 모바일 솔루션 확산, 클라우드 의료정보시스템 도입, 재택근무 등으로 내·외부 네트워크 경계가 허물어지고 있다.
기존에는 병원 내부망은 신뢰하고 외부는 믿지 않는 방식으로 운영됐지만, 내·외부 네트워크 경계가 모호해지면서 전통적인 경계 보안 한계를 극복하기 위한 모델이 필요해졌다.
의료기관이 사이버 공격의 표적이 되고 있는 상황에서 민감한 의료정보를 안전하게 보호하는 것은 의료 IT 보안의 새로운 도전 과제가 되고 있다.
병원정보보안협회 황연수 학술분과장(분당서울대학교병원 CISO)은 “디지털 혁신은 가속화되고, 의료환경이 변화 중심에 있지만 더불어 보안에 대한 위협이 도사리고 있다”고 말했다.
이어 “이러한 보안 위협에 대응하기 위해서는 의료계 보안인들의 네트워크 구성 노력이 중요하다”며 “협의회를 중심으로 변화무쌍한 환경에 공동 대응해 나가고자 한다”고 덧붙였다.
한편, 병원정보보안협회는 의료기관 및 의료산업에서 근무하고 있는 정보보안 전문가 모임으로 현재 300여 명의 회원이 활동하고 있다.
박대진 기자 (
