전자의무기록(EMR) 외부 보관 허용의 가장 큰 목적은 중소병원 보안 강화다. 열악한 정보시스템을 통해 환자 정보가 방치되다시피한 중소병원은 보안 사고에서 `시한폭탄`과 같다. 클라우드 서비스 기업이 제공하는 체계화 및 안정된 보관 서비스를 이용할 경우 보안 수준을 한 단계 높일 수 있다는 분석이다.
의료 정보는 개인 신상은 물론 신체, 질병, 결제 정보까지 포함해 가장 민감한 정보로 분류된다. 개인 정보에 비해 10배 이상 비싸게 거래되는 이유다. 하지만 국내 병원 보안 점수는 `낙제` 수준이다. 정부 조사 결과 국내 대형 병원 20곳 가운데 17곳이 개인정보보호법을 위반한 것으로 나타났다.
동네 의원을 포함한 중소병원은 더욱 심각하다. 중앙대 의료보안연구소가 전국 150개 중소병원을 조사한 결과 100병상 미만 병원의 경우 의료 정보기술(IT) 서비스 투자금 대비 의료정보보호 투자 비중은 7.58%에 불과했다. 100병상 이상 300병상 이하 병원은 더 낮은 7.17%다. 의료정보보호 전담 직원을 보유한 병원도 약 2%에 불과했으며, 의료정보보호 교육을 수행한 병원도 전체 27.33%에 그쳤다.
의료 보안 서비스 사용률도 현격히 낮다. 접근통제 권한관리(31.33%), 전자정보 암호화(24.67%), PC 보안 시스템(23.33%), 데이터베이스(DB) 보안 시스템(21.33%) 등 핵심 보안 솔루션을 도입한 곳은 절반에도 미치지 못했다.
가장 큰 원인은 예산 부족이다. 조사 대상 60%가 예산 부족을 꼽았다. 그 뒤를 의료보안 전담인력 부족(57.33%), 의료보안 솔루션 인지 부족(44%) 등이 이었다.
의료정보를 클라우드에 보관할 경우 긍정 효과가 기대된다. 기업용 클라우드 서비스는 침입방지시스템, 가상화 보안 등 보안 체계가 구축돼 있다. 보안 전문 인력과 상시 관제 시스템도 가동된다. 중소병원이 스스로 전담 인력을 배치하고 일일이 솔루션을 구축하는 것과 비교, 효율성이 높다. 열악한 보안 수준 원인으로 꼽힌 예산, 인력, 정보 등 3가지 요소 부재를 상당 부분 해소할 수 있다. 클라우드가 보안에 답은 아니지만 열악한 중소병원의 상황을 고려할 때 최소한의 방어막이 두터워지는 셈이다.
김승주 고려대 정보보호대학원 교수는 “클라우드는 정부통합전산센터 사례에서 보듯 시스템이나 데이터를 한 곳에 모아 놓고 전문 인력이 통합 관리한다면 보안 측면에서 장점이 있다”면서 “의료기관은 개인 정보를 위탁 관리시킬 수 있으니 편의성을 높이고 비용을 줄일 수 있다”고 분석했다.
클라우드가 중소병원 보안 수준 제고에 기여하지만 통합관리 맹점을 이용한 대규모 정보 유출 사고 우려도 나온다. 대형 종합병원인 3차 의료기관 가운데 클라우드 도입을 검토하고 있는 곳이 거의 없는 이유다.
한 대형 병원 관계자는 “클라우드를 통해 보안 수준을 높이고 의료 빅데이터 등을 실현한다고 하지만 당장 대형 병원이 움직이기에는 한계가 있다”면서 “클라우드 EMR를 도입하기 위해서는 병원정보시스템(HIS) 등 연계 시스템을 재개발해야 하기 때문에 비용이 많이 들고, 의료정보가 자산인 병원 입장에서 이를 외부에 위탁한다는 인식이 해소되려면 시간이 걸릴 것”이라고 말했다.
정부도 이를 감안, EMR를 외부에 보관하기 위해 무중단 백업 및 긴급 복구, 네트워크 이중화, 접근 통제 시스템, 침입 감지 시스템 등 16가지 안전성 확보 조치 조항을 명시했다.
의료 협·단체와 논의해 클라우드 서비스 수준을 자율 검증하는 제도도 마련키로 했다. 기업이 의료기관에 제공하는 서비스 및 인프라가 정부가 제시한 안정성, 적합성 기준을 충족하는지 사전에 인증하는 방식이다.
보건복지부 관계자는 “의료 협회·단체가 주도해 서비스 안정성과 적합성을 평가하는 심의위원회를 꾸려서 운영할 계획”이라면서 “의료 클라우드 등이 사실상 첫 시도되는 만큼 우려가 제기되고 있지만 이를 해소하기 위한 가이드라인 마련, 기술 지원 등 다양한 지원을 펼칠 계획”이라고 밝혔다.
정용철 의료/SW 전문기자 jungyc@etnews.com, 김인순 보안 전문기자 insoon@etnews.com, 박정은기자 jepark@etnews.com
