코로나19 계기로 사회 각 분야에 디지털 혁신이 더욱 가속화되고 있지만 그 이면에는 보안에 대한 위협이 도사리고 있다. 특히 민감한 환자정보를 다루는 의료 분야는 보안의 중요성이 배가된다. △의료 마이데이터 △스마트 의료기기 IoT △수술실 CCTV △클라우드 의료정보시스템 등 높아진 편의성 만큼 병원들은 보안에 각별히 신경을 써야 하는 상황이다. 이러한 보안 위협에 대응하기 위해 병원정보보안협의회를 중심으로 의료계 보안 담당자들의 네트워크 구성을 통한 공동 대응 행보에 관심이 모아진다. 협의회는 그 일환으로 2023년 의료환경에서 주목해야 할 정보보안 키워드를 선정, 발표했다.
병원정보보안협의회(회장 박종환, 삼성서울병원 CISO)는 최근 회원을 대상으로 응모를 진행한 결과, 트렌드와 중요도를 반영한 올해의 키워드 10개를 최종 선정했다.
병원 보안 전문가들이 직접 지목한 키워드인 만큼 일선 병원 의사결정자 및 관계자들이 눈여겨 볼 필요가 있다는 분석이다.
업무연속성 계획(BCP, Business Continuity Plan)
지난해 10월 카카오 서비스 중단 사고로 모든 산업 분야의 업무연속성 계획이 도마 위에 올랐다.
특히 병원은 24시간 365일 무정지·무장애 의료서비스를 지원해야 하는 만큼 병원 내 업무연속성 계획은 어느 산업 분야에 비해 더욱 중요하다.
이번 카카오 사태와 같이 IDC 및 정보시스템 관리 미흡에 따른 시스템 중지 및 데이터 손실 등은 병원의 지속적이고 안정적인 의료서비스 운영에 치명적 위험이 될 수 있다.
이에 따라 많은 병원들이 시스템 이중화 및 DR센터 구축 등을 올해 예산에 반영했다. 2023년은 의료기관의 업무연속성을 점검하고 보완하는 한해가 될 전망이다.
의료 마이데이터 보안
의료기관, 공공기관 등에 분산된 자신의 건강정보를 통합적으로 조회하고 확인해 원하는 헬스케어 서비스를 지원받을 수 있는 의료 마이터 서비스가 시작됐다.
개인 건강정보 활용 생태계의 조성을 통해 의료서비스 질 향상, 의료전달체계 강화, 국민 참여 기반 건강관리 활성화가 가능해 질 것으로 보인다.
그러나 어떤 정보보다 민감한 건강정보가 한 곳으로 쏠리면서 개인정보 누출 위험성은 더욱 커졌으며, 이에 대한 위험성이 중요한 이슈로 떠오르고 있다.
스마트 의료기기 IoT 보안
4차 산업혁명 시대가 본격화되면서 사물인터넷(IoT) 기술을 접목한 다양한 형태의 의료기기가 일상에 빠르게 자리를 잡고 있다.
원격의료와 모니터링을 지원하고 네트워크로 연결된 의료기기들이 환자안전을 확보하면서 의료 효율성을 높일 수 있게 됐다.
반면 IoT 기술의 취약성을 이용한 의료정보 유출과 사이버 공격 등 각종 위험 가능성도 함께 을 커지고 있다.
의료환경에서의 ICT 의존도가 높아짐에 따라 병원들이 보안 위협이나 사고에 대해 빠르게 대처하고 정상적으로 시스템을 운영할 수 있는 신뢰성을 확보하는 게 중요해졌다.
수술실 CCTV 보안
환자 등 정보주체 동의가 있는 경우 의료행위 장면을 촬영해 보존해야 하는 수술실 CCTV 설치 의무화가 오는 9월 25일부터 시행될 예정이다.
수술실 CCTV 설치만큼 중요한 게 바로 영상의 저장·관리다. 촬영된 영상에 대한 안전한 저장, 데이터 유실 및 조작 방지, 접근통제가 중요한 보안 이슈로 떠오르고 있는 이유다.
또한 영상반출 시 영상·이미지 모자이크 처리, 영상정보 자동 파기, 영상 암호화 및 원본영상 위·변조 검증 등의 기술 지원이 필수가 됐다.
보건의료데이터 가명 처리
보건의료 분야에서 가명정보를 활용한 연구가 활성화 되도록 의료계와 산업계 의견을 반영한 ‘보건의료데이터 활용 가이드라인’이 개정됐다.
이번 가이드라인 개정은 개인정보를 철저히 보호하면서도 가명처리 과정에서 발생하는 현장의 애로사항 해소에 중점을 뒀다.
가이드라인에서는 의료영상정보 가명처리 기준이 명확화 되고, 데이터 심의위원회 운영이 간소화 됐다. 이에 따라 의료기관 내 데이터 심의위원회 구성이 본격화 될 전망이다.
클라우드 의료정보시스템 보안
EMR 인증제 시행 후 클라우드 EMR에 대해 고대의료원, 이지케어텍, 헬스허브 등 3곳이 인증을 받았다.
클라우드 EMR은 보안관제 및 시스템 관리를 민간 데이터 센터가 24시간 전담하기 때문에 중소 병·의원이 안정적으로 진료정보를 관리하는데 도움이 될 전망이다.
그러나 클라우드 서비스 운영 과정 및 클라우드 구성에 존재하는 취약점으로 인한 보안 이슈를 기술적, 관리적으로 통제할 방법을 적용해 해결할 수 있는 방안이 더욱 중요해졌다.
제로 트러스트(Zero Trust)
‘제로 트러스트’는 ID 및 권한을 검증하기 전까지 어떤 사용자나 디바이스도 신뢰하지 않아 리소스에 접근할 수 없도록 하는 시스템이다.
‘신뢰하되 검증’하는 방식에서 ‘신뢰하지 않고 항상 검증’하는 것으로, 인증 방식을 전환하는 개념이다.
원격근무, 원격의료 등으로 업무 형태가 전환됨에 따라 병원 내·외부 경계가 모호해지는 상황에서 병원의 민감한 정보를 보호하기 위한 차세대 사이버 보안 모델로 주목받고 있다.
특히 전문가들은 ‘제로 트러스트’가 향후 의료정보시스템 인증의 표준모델로 자리잡을 것이라고 전망했다.
타겟형 랜섬웨어
이전보다 더욱 고도화된 방식으로 발전한 의료기관 타겟형 랜섬웨어 출현은 병원에서의 안정적이고 지속적인 의료서비스 제공에 위협이 되고 있다.
특히 대기업, 제조시설, 금융기관 보다 보안 수준이 높지 않은 병원은 타겟형 랜섬웨어의 표적이 될 수 있을 것으로 판단된다.
타겟형 랜섬웨어 공격은 의료정보시스템을 마비시켜 시스템 가용성을 위협할 수 있고, 개인정보와 의료정보를 탈취해 블랙마켓에 판매할 수 있는 2차 피해까지 예상된다.
이에 따라 병원의 전사적 망분리의 도입 등 대응이 필수적으로 요구된다.
의무기록 무단열람 방지 프로세스
EMR이 도입되며 의무기록의 접근성 및 활용성이 좋아진 반면 비인가자에 의한 무단 열람 또는 업무 목적 외 의무기록 열람 가능성은 커졌다.
국내 EMR이 본격 도입된 시기는 ‘개인정보보호법’ 도입 이전인 2003년으로, 당시는 개인정보 보호 보다 의무기록 접근성 향상을 통한 진료 및 프로세스 개선이 더 강조됐다.
최근 개인정보 중요성이 강조되고 있고 의무기록 무단열람이 사회적 문제가 되면서 이를 방지할 수 있는 새로운 접근통제와 프로세스가 필요해졌다.
의료기관 정보보호 공시
2022년 상급종합병원의 정보보호 공시가 의무화 됨에 따라 총 37개 병원(의무공시 33개, 자율공시 4개)에서 투자·인력·인증·활동 등 정보보호 현황을 공시했다.
공시를 통해 환자에게는 정보보호를 병원 선택의 객관적 기준으로 제시했고, 병원에게는 경영 중요요소로 포함시켜 정보보호 투자 활성화 효과를 보았다.
올해는 의무공시 대상 병원 외 더 많은 병원들의 자율적으로 참여가 예상된다.
병원정보보안협의회 황연수 학술분과장(분당서울대병원 CISO)은 “디지털 혁신은 가속화되고, 의료환경이 그 변화의 중심에 있지만 더불어 보안에 대한 위협이 도사리고 있다”라고 말했다.
이어 “이러한 보안 위협에 대응하기 위해서는 의료계 보안인들의 네트워크 구성 노력이 중요하다”며 “협의회를 중심으로 변화무쌍한 환경에 공동 대응해 나가고자 한다”고 덧붙였다.
한편, 병원정보보안협의회는 의료기관 및 의료산업에서 근무하고 있는 정보보안 전문가 모임으로, 현재 100여 명의 회원이 활동하고 있다.