Home > 전체기사
의료정보 암호화 전송 이슈, 어떻게 봐야 하나
  |  입력 : 2018-09-03 11:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
의료영상정보, 다양한 포맷과 개인정보 노출 쉬운 영상 등 고려해 암호화 적용해야
손쉽게 선별할 수 있는 구체적인 가이드라인과 예산 지원 수반 인센티브 정책 필요


[보안뉴스= 건국대학교 소프트웨어학과 한근희 보안교수] 그동안 지속적인 홍보와 주변의 사건·사고로부터 얻은 지식으로 의료기관 종사자 대부분이 의료정보를 외부로 전송하는 경우에는 암호화해서 전송해야 한다는 사실을 잘 알고 있을 것이다. 의료정보를 외부기관의 요구나 법규에 의해서 전송해야 하는 경우, 외부에 보관하는 경우, 진료정보를 교류하는 경우에는 필히 암호화해서 전송해야만 한다.

[이미지=iclickart]


그러나 의료정보를 내부에서 사용하는 경우에도 암호화해서 주고받도록 개인정보보호법이나 정보통신망 법에 규정되어 있다는 것을 알고 있는 경우는 많지 않을 것이다. 여러 진료과에서 협진을 위해서 의료정보를 전송하거나, 의료진이 연구 목적으로 사용하기 위해 환자의 동의를 받아서 전송하거나, 의료기기나 병원정보 시스템 등에 저장하기 위해 전송할 경우에도 상호 간에 암호화해 주고받아야 한다.

따라서 모든 의료기관에서는 외부로 전송할 때 암호화해 전송하고 있을 것이다. 대량의 의료정보나 빅데이터 작업 등을 수행하는 경우에도 개인정보를 알아 볼 수 없게 하기 위해서 비식별화 과정을 거쳐서 제공하도록 되어 있다,

그런데 외부에 전송하는 경우보다 훨씬 더 많은 정보가 내부에서 사용되는데 이 모든 과정에서 암호화해서 주고받는다는 것은 현실적으로 쉽지 않다. 단순한 문자 데이터로만 구성된 의료정보 경우나 데이터량이 크지 않은 경우에는 부담이 작지만, 영상정보의 경우에는 데이터 량도 크고 처리 방식과 기술 적용도 복잡해서 모든 영상정보를 대상으로 암호화 기술을 적용하는 것이 어렵다.

그럼에도 불구하고 초음파기기나 CT/MRI 등의 의료영상정보를 주고받는 경우에 암호화를 해야 하는 것인가? 암호화해서 주고받아야만 하는 이유는 무엇일까? 필자의 의료보안 연구진이 실험적으로 의료기관 내부 네트워크에서 전송되는 정보를 네트워크 구간에서 수집해서 살펴본 결과, 평문으로 주고받는 정보는 당연히 그대로 환자 개인 의료정보를 살펴볼 수 있었다. 또한, 의료영상정보의 경우에도 영상 파일내 우측 상단이나 좌측 상단에 환자등록번호, 이름, 성별, 진료정보 등 개인을 식별할 수 있는 정보들이 평문으로 그대로 노출되어 있었다. 따라서 이러한 정보가 유출되거나 노출되는 경우에는 환자 개인의 의료정보를 고스란히 탈취당하게 된다.

통신 환경이 유선으로만 구축되어 있는 경우에는 유선으로 공격기기를 접속해야만 정보를 탈취할 수 있으나, 의료기관 내에서 무선 LAN을 사용하는 경우에는 누구나가 노트북이나 무선기기를 사용해서 쉽사리 정보를 수집할 수 있기 때문에 자칫하면 개인의료정보를 그대로 탈취당할 수 있게 된다. 실수에 의해서건 의도적으로 훔쳐가건 암호화해서 전송했을 경우에는 어떠한 내용도 알아볼 수 없게 되기에 암호화가 필요하다.

▲한근희 건국대학교 정보통신대학원 정보보안학과장
[사진=한근희 교수]

개인정보보호법에서 의료영상정보에 대한 암호화 적용 여부는 불분명한 상태인데, 의료영상정보를 반드시 암호화해서 전송해야만 할까? 필자는 모든 유형의 의료영상정보를 암호화하는 것은 반대한다. 의료영상정보의 경우, 다양한 포맷과 크기로 이루어지기 때문에 이들 중에서 개인정보가 노출되기 쉬운 영상을 제한적으로 선별해서 암호화 적용 대상과 범위를 정해서 수행하는 방안이 바람직하며, 이를 손쉽게 선별할 수 있도록 구체적인 가이드라인을 만들어서 제공하는 것이 필요하다.

특히, 의료기관의 목적상 정보보호 분야에 투자하는 것에 추가적으로 의료영상정보에까지 투자하기에는 한계가 있기 때문에 의료영상정보를 암호화할 수 있도록 하기 위해서는 정부에서 관련 예산을 지원하는 적절한 인센티브 정책이 실시되어야 한다.

기존 의료정보를 보호하기에도 벅찬데 의료영상정보까지 보호하라고 할 경우 더욱 어려워할 수 있으나, 본인 정보가 그대로 노출되어 피해를 볼 수 있다고 생각해 보면 환자 정보를 보호하는 것에 당위성을 부여할 수 있을 것으로 본다.
[글_ 한근희 건국대학교 소프트웨어학과 보안교수/스마트의료보안포럼 의장
(khhan@konkuk.ac.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)