[의료정보보안③]보안 체계 강화 위해 ISO27001 인증 도입 가속화

1. EMR 도입과 맞물려 제기되는 보안이슈

2. 의료기관 개인정보보호 관리 강화된다

3. 보안 체계 강화 위해 ISO27001 인증 도입 가속화

4. 의료기관 보안시스템 “남겨진 숙제는?”

경기불황 때문에 지연되거나 중지됐던 EMR사업이 다시 개재되면서 정보보호에 대한 이슈도 제기되고 있다. 특히 EMR 도입은 병원 전산망의 틀을 바꾸는 사업이기 때문에 이 시기에 그동안 제기되던 병원 보안 취약점까지 보완하기 위한 계획이 함께 세워지고 있다.

병원에서 제기되는 보안취약점은 한두 가지가 아니다. 병원에서는 환자들의 개인정보라는 중요한 자료를 보관하고 있기 때문에 이에 대한 보안 강화는 꼭 풀어야할 숙제가 되고 있다. 하지만 전자시스템의 도입에서 나타나는 보안 취약점은 예상할 수 없는 여러 분야에서 나타나고 있기 때문에 이에 대한 취약점 분석은 병원 보안시스템 전반적으로 확대된다. 이에 따라 전반적인 보안시스템 강화로 여겨지고 있는 ISO27001의 도입으로 인해 보안 강화를 꾀하려는 움직임도 점차 나타나고 있다.

올해 6월 서울대병원이 처음으로 ISO27001인증을 획득할 것으로 예상돼 인증에 대한 관심은 점차 증폭되고 있다. 수시로 나타났던 병원 개인정보 유출 사고로 인해 이제는 병원의 개인정보에 대한 보안도 하나의 경쟁력으로 평가되고 있어 앞으로 ISO27001 도입은 점차 늘어날 것으로 예상된다.

현재 보안컨설팅 업체들은 큰 병원 위주로 ISO27001인증 컨설팅에 대한 문의가 점차 늘고 있다고 이야기한다. 그동안 각 업계에서 ISO27001인증 획득은 점차 늘어가고 있는 상황에서 아직까지 의료기관의 ISO27001인증 획득 사례가 없어 많은 병원들이 이 인증에 대해 관망하고 있었다. 하지만 최근 서울대병원의 ISO27001획득에 대한 소식이 전해지면서 대형 은행을 중심이로 이 인증에 대한 관심이 점차 높아지고 있다.

한 보안컨설팅 업체의 관계자는 “병원들이 EMR 도입과 함께 보안강화를 추진하고 있는 상황으로, 기왕이면 ISO27001인증까지 획득하자는 생각으로 이에 대한 보안컨설팅 비용에 대한 문의가 점차 늘고 있다”면서 “추세가 이런 만큼 올해 병원 쪽 ISO27001인증 컨설팅 목표를 전국 5위권 대형병원 전체로 확대했다”고 말했다.

이처럼 의료기관들의 ISO27001인증 획득을 위한 관심이 점차 늘고 있는 추세지만 이를 위해서는 병원의 수장의 강한 의지가 요구되고 있어 병원으로는 쉽지 않은 선택이 되고 있다. 병원의 IT 조직체계의 경우 인적자원이 약한 상황이기 때문이다. 대부분 병원의 IT담당자는 한명이 겸직하는 경우가 많고 대부분 아웃소싱에 의지한다. 아울러 보안 프로세스나 정책도 아웃소싱에 위임하고 있다. 정도. 내부의 보안인식 부분이 취약한 영역중 하나이기 때문에 내부 교육도 필요해지고 있다.

ISO27001 인증 도입은 병원에서 본격적으로 정보보호와 아울러 내부 보안을 위한 조직체계와 정책을 구성한다는 것이기에 큰 의미를 지닌다. 특히 ISO27001인증으로 인해 병원 내 보안조직을 구성하고 이에 대한 관리와 책임을 맡게 되는 CSO(Chief Security Officer)가 임명되는 큰 조직적 변화가 시작된다.

이는 IT담당자 한두 명으로 유지되던 병원 IT시스템 조직에 대한 대대적인 변화를 요구하게 된다. 이는 그동안 아웃소싱에 의존해 내부적인 문제점 파악도 제대로 이뤄지지 않는 등 여러 문제를 해결할 수 있는 대안이 되고 있다.

■ ISO27001 인증 준비에 참여한 서울대 병원 김경환 교수 인터뷰

- ISO27001인증 도입, 어떤 부분이 어려웠나?

일단 단순히 보안 솔루션만 도입하는 것이 아니라 내부적인 보안 프로세스를 정립하는 중요한 일이었기 때문에 보다 강력한 지도아래 인증이 준비돼야 했다. 따라서 여러 새로운 방식의 내부 지침이 늘어나 병원 내 모든 구성원의 협조가 필요했다. 다행이 병원의 윗분들이 이런 부분에 대해 강한 의지와 병원 내부 구성원들의 협조로 인해 순조롭게 진행됐다.

- 내부 보안도 중요한데 보안교육은 어떻게 진행되나?

작년에 만들어져 올해 초부터 인터넷 상에서 진행할 수 있는 교육 프로그램을 만들었다. 이 교육프로그램은 전 직원이 이수를 해야만 하도록 돼 있고, 인턴이나 레지던트의 경우 오프라인 교육을 받도록 하고 있다. 외부에서 온 직원이나 학생의 경우도 따로 교육프로그램을 만들어 진행하고 있어 보안 교육이 점차 강화됐다고 볼 수 있다.

- 인증으로 인해 조직체계에 대한 변화도 있었나?

일단 정보보호 관련해 책임자가 없었다는 것이 그동안 내부 보안의 가장 취약점으로 파악됐다. 하지만 인증 획득으로 인해 보안책임자(CSO)를 임명하게 돼 있어 이런 문제를 해결할 수 있을 것으로 보인다. 보안이 중요하면서도 여러 정책 구현이 어려운 이유는 CSO가 없기 때문으로 볼 수 있다. 보안 체계 도입에 있어 사전에 여러 부서와의 합의가 이뤄져야 하지만 이를 대표할 책임자가 없어 문제 해결이 쉽지 않았지만 CSO가 도입되면서 이런 문제가 점차 해결될 것으로 보인다. 또한, 그동안 보안 분야는 항상 관심을 갖기 보다는 특정한 일이 있을 때만 관심을 가졌지만 CSO가 상시 내부 보안체계를 모니터링 하면서 빈틈없는 보안 체계가 이뤄질 것으로 기대하고 있다.

- ISO27001인증을 통한 기대효과는?

개인정보보호 등 보안 정책이 체계적으로 구성돼 환자들과 의사들에 대한 불만이 많이 줄었다. 그동안 개인정보에 대한 여러 불만사항이 접수되고 했지만 정보보호 관리가 체계적으로 이뤄지는 것이 눈으로 보이기 때문에 이에 대한 불만이 크게 줄었다.

또한 인증체계를 따라 운영해 나가다 보면 내부인 보안만 진행하는 것이 아니라 환자들도 지켜야할 수칙 등 알려할 부분이 많기 때문에 내ㆍ외적으로 보안이 강화되고 있다. 아울러 서울대병원의 공식력과 브랜드 파워에도 영향을 줄 것으로 보인다. 대형 병원이 늘어나는 상황에서 규모보다는 질적인 노력을 보여줄 수 있기 때문. 특히 환자정보보호에 대한 부분에 포커스를 맞춰 인증을 준비했기 때문에 환자들이 더욱 개인정보보호 부분에서 안심할 수 있을 것으로 보인다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)