의료 관련 정보는 타 산업 분야에서 마케팅 등에 활용하기 위해 수집하는 개인정보와는 그 수준이 다르다. 타인에게 결코 알려지면 안 되는 민감한 치료기록 등이 포함돼 있으므로 유출될 경우 개인의 프라이버시에 심각한 지장을 초래한다.
그동안 의료 분야의 보안은 시스템 장애로 인해 발생할 수 있는 진료 차질 등을 우려해 활발하게 이루어지지 않았다. 하지만 최근 개인정보보호법과 같은 컴플라이언스 요건의 강화와 프라이버시에 대한 환자들의 관심 증대, 의료기관의 많은 부분이 IT시스템을 활용하게 됨으로써 외부로부터의 보안 위협에 대한 대처가 관심사로 떠올랐다.
의료기관의 보안 역시 다른 IT 분야와 같이 기본적으로는 외부로부터의 악의적인 침입에 대비하기 위한 시스템과 체계를 갖추어야 하며, 내부정보가 외부로 유출되지 않도록 하는 보호조치 등이 필요하다. 또 각각의 시스템을 체계적으로 모니터링하고 정보의 흐름을 관리해야 한다.
다만 그간 의료 분야가 타 산업에 비해 정보보호에 투자가 소극적이었고, 의료기관의 특수성 등을 고려할 때 초기의 체계 수립부터 시스템 도입까지 전반적인 정보보호 마스터플랜 수립 컨설팅이 시급하다. 보안관제를 하는 경우에도 고가의 중요한 의료장비에 에이전트를 설치하지 않는 방식의 관제 방식을 선택하는 등 의료 분야를 고려한 준비가 필요할 것으로 보인다.
특히 의료 분야의 경우 온라인으로 진행되는 전자의무기록(EMR), 의료영상 저장전송시스템(PACS), 처방전달기록(OCS), 원무, 보험단위 업무 등에서 활용되는 의료정보시스템에 대한 외부로부터의 접근 차단에 주력해야 하며, 내부에서도 인가되지 않은 사용자들이 접근하는 것에 주의를 기울여야 한다.
종전에는 각종 의료정보시스템에 의료기관의 임직원들이 특별한 제약 없이 광범위하게 접근하는 경우가 많은 데, 환자 정보에 의료인들이 접근하는 경우에는 그 접근 권한을 그룹별로 세분화함으로써 불필요한 경우에까지도 의료정보가 노출되는 것을 최소화할 필요가 있다.
최근에는 의료정보를 모바일 단말기를 활용하고자 하는 병원이 많아지고 있다. 이 때 무선 네트워크 접근을 반드시 암호화하는 조치와 함께 인가되지 않은 단말기에 대한 접근의 원천 차단과 원무 외에 모바일 단말기의 물리적인 접근을 차단하는 조치로 분실·도난 등을 통한 정보 유출을 방지하는 것도 검토해야 한다.
박세현 에이쓰리시큐리티 수석컨설턴트 shpark@a3security.com