의사
의료기관에서 새로운 의료기기를 승인할 때 모든 단계에서 영향을 받는 사람 및 그룹 대표와 협의하라는 권고가 나왔다.
"의료기관, 새로운 장비 등 승인 시 영향 받는 모든 사람과 협의" 권고
국가정보원(국정원)은 최근 이 같은 내용의 병원정보시스템(HIS) 보안가이드라인 버전 1.0을 신규 제정했다. 국정원은 해당 내용을 홈페이지에 공지했다.
국정원은 "최근 HIS에 IT 기술이 다수 도입돼 의료데이터 관리 효율성과 서비스 질이 크게 향상되고 있다"면서도 "HIS 운영 환경이 복잡해지면서 보안 위협도 증가하고 있다"고 밝혔다.
이어 "HIS는 민감한 정보를 다루고 있어 침해 사고 발생 시 개인정보 유출 뿐 아니라 시스템 마비로 인한 생명 위협까지 초래할 수 있어 철저한 보안이 필요하다"고 덧붙였다.
특히 의료기기 보안 대책과 관련해 국정원은 "의료기기 구매 시 최소한의 보안 요구사항을 검토한 후 도입·운영하라"고 권고했다.
새로운 의료기기를 승인하는 조건으로 ▲모든 단계에서 영향을 받는 사람 및 그룹 대표와 협의 ▲도입 시 기존 시스템에 부정적 영향을 끼치지 않는지 확인 ▲도입 전 의료기관 보안 영향 분석 수행 등을 제시했다.
또 ▲운영 절차 준비 및 테스트 방법 정의 ▲운영 또는 사용에 대한 사전 교육 제공 ▲오류 복구 및 재시작 절차, 비상조치 절차 교육 제공 등도 고려 대상이다.
의료기기 공급담당자는 보안 요구사항을 준수하고 이에 대한 테스트·평가 결과를 제공하고, 의료기관은 식별된 결함을 확인해야 한다. 이어 경영진으로부터 공식 승인을 받은 후 새로운 의료기기를 사용하고 업그레이드를 수행해야 한다.
국정원은 "의료기기에 따라 해당 보안 요구사항을 모두 적용할 수 없는 경우 가능한 부분에 적용하고 다른 보안성 향상 방안을 고려하라"고 권고했다.
의료기기 사이버 보안 요구사항은 ▲식별 및 인증 ▲사용 통제 ▲시스템 무결성 ▲데이터 기밀성 ▲이벤트 적시 대응 ▲자원 가용성 등으로 정해졌다.
그러면서도 이런 요구사항에 대해 보안 기능을 구현하는 경우 의료기기 기본 안전과 필수 성능에 부정적인 영향을 주지 않도록 해야 한다.
의료기기 보안 대책으로는 응급 모드 제공 시 위급한 경우만 사용 가능토록 설정하라는 내용도 담겼다. 응급모드는 응급 상황에서 정상적 환자 등록·확인 절차 없이 의료기기를 사용할 수 있는 기능이다.
이밖에 의료기관 개인 정보도 의료법 시행규칙에서 정한 보존 기관과 방법을 따르되 연장 보존을 결정한 경우 의료기관 홈페이지 또는 보기 쉬운 장소에 게시하는 것을 권고했다.
자세한 가이드라인 내용은 국가사이버안보센터 홈페이지에서 확인 가능하다.
한편, 국정원에 따르면 지난 2023년 국내 상급종합병원 41곳 계정 정보와 의료종사자의 근로계약서 등 민감 정보가 다크웹에 노출된 일이 있었다.
또 2021년에는 북한 해킹 공격으로 국내 상급종합병원에서 83만명의 환자 및 전·현직 직원 정보가 유출됐다.
이슬비 기자 (
