'제1회 의료정보리더스포럼 콘퍼런스' 토론회에서는 ISMS 등 의무이행 사항에 따른 보안 이슈를 점검하고, 현실과 난관을 공론화하는 자리였다. 의료기관 의료정보 보안, 데이터 관리가 핵심과제로 떠오르면서 대응 방향, 전략 등 모색이 활발하다. 정부 관련 규제 개선도 시급하다. 의료정보의 가치 있는 사용을 위한 기술적 요소와 제도 정비 방안도 논의했다.
IT 예산이 넉넉하지 않은 병원 입장에서 강화되는 보안 요구사항에 맞춰 대응하기는 쉽지 않다. 울산대병원 정보 보안 담당자도 한명이다. 정보 보호 노력에 비해 보상이 부족하다는 지적이다. 민간 의료기관은 의료법 상 전자의무기록과 개인정보보호법에 의거, 개인정보를 안전하게 보호해야 한다. 민간분야 정보보안 주무부처 과기정통부와 한국인터넷진흥원은 ISMS 인증을 의무화, 주요정보통신기반시설을 지정하는 등 상급종합병원 보안의무를 강화한다. 병원은 보안 전문성 강화 및 최신 정보 획득에 어려움을 겪는다. 보안 인프라, 인력 투자가 미흡하다.
상급종합병원 직원 2479명 중 보안 전담인력은 1.03명 수준에 그친다. 박종하 울산대병원 CIO는 “병원에 의료정보 데이터 보안 중요성이 갈수록 커짐에도 투자 예산이 적다”면서 “보안 영역이 앞으로 발생할 위험을 최소화하는 데 그친다. 보안 관련 보상체계가 마련돼야 한다”고 말했다. 이어 ”보안 관련 가이드라인도 마련돼야 한다”고 덧붙였다.
국내 주요 병원들은 망분리 사업을 검토한다. 의료정보를 노리는 해커 공격도 잦아졌다. 개인의료정보가 공격자 손에 들어갈 경우 악용이 가능하다다. 한근희 건국대학교 교수는 “미국처럼 한국도 의료보안법 만들어서 보안 관련 시스템 통합작업이 이뤄져야 한다. 인센티브 도입도 검토해야 한다”고 말했다.
의료정보 보안 관련 접근 권한이 높은 직원 통제 강화도 필요하다. 이동근 한국인터넷진흥원(KISA) 침해사고분석단장은 “해커가 병원이 보유한 의료정보 가치를 높게 판단하고 언제든 공격할 준비를 한다”면서 “의료정보 보안, 유지보수 담당 직원들은 관련 정보 접근 권한이 높다. 이들 직원에 대한 정보 접근 통제도 강화해야 한다”고 밝혔다.
보건복지부는 정보 안전성을 확보하기 위해 하반기부터 인증제 시범사업을 시작한다. 전자의무기록(EMR) 인증 등 국가 의료정보화 체계 고도화 방안을 수립한다. EMR 표준적합성, 상호운용성, 보안성 등을 평가해 인증을 부여한다. 하지만 자율인증제도는 인센티브가 없어 많은 기관이 참여할지 미지수다. 오상윤 복지부 의료정보정책과장은 “인증 받은 EMR를 사용한다고 해서 의료기관에 혜택을 지급하기 어렵다. 환자 데이터를 안전하게 관리하고 진료정보 교류에 적극 참여하는 국민 서비스 제공 측면 노력 여하로 건강보험 수가 지급을 검토 중”이라고 말했다.
오 과장은 “건보공단이나 심평원이 갖고 있는 보건의료 정보보호 관련 제도 정비도 과제다. 환자 의료정보를 보호하면서도 병원 진료정보 교류 효율화를 위해 의료정보 보호법과 개인정보보호법 등 혼재된 법 개선이 필요하다. 하반기 시범사업을 통해 장기 로드맵을 마련할 것”이라고 강조했다.
장윤형 의료/바이오 전문기자 why@etnews.com