보안 취약점 진단 및 보안 표준지침 가이드 배포
▲ 전국지방의료원연합회 정보화사업부 김영환 부장
사단법인 전국지방의료원연합회(www.medios.or.kr 회장 김영호)가 업계의 최대 이슈 가운데 하나인 보안 강화에 발 벗고 나서 주목을 받고 있다. 즉, 34개 전국 지방 의료원들의 정보화를 총괄 지원하고 있는 전국지방의료원연합회는 전산 인력과 전문성이 부족한 의료원들을 대신해 환자 개인정보보호 강화는 물론 보안 교육 실시에 적극 나선 것이다.
우선 연합회는 올해 의료원들의 보안취약점을 진단하고 보안 표준지침 가이드를 배포하는 등 34개 지방의료원들의 보안 체계 마련에 중점을 둘 예정이다. 이는 EMR(전자의무기록) 시스템의 확대 보급 및 전 업무의 전산화에 따른 보안 강화가 시급하다는 판단 때문이다.
아직 많은 주요 병원들 조차 보안 체계를 갖추지 못한 상황이라 지방의료원의 이 같은 선도적인 움직임이 업계 관계자들의 관심을 끌고 있다. 전국지방의료원연합회의 정보화사업부 김영환 부장을 직접 만나 지방의료원의 보안수준과 보안투자현황, 향후 보안 과제 등에 대해 들어본다.
- 올해 추진할 주요 IT 사업은.
지난해 모든 노후 장비 교체를 했고 통합보안(UTM) 장비를 도입해 보안을 강화했다. 올해는 10여개 의료원을 대상으로 EMR을 확산하고 의료원들의 보안 취약점을 진단할 계획이다. 지난해 마산의료원이 보안전문 컨설팅회사를 통해 시범적으로 취약점 진단을 받았고 그 결과, 보안 체계를 어떻게 구축해야 한다는 가이드라인이 나왔다. 이 가이드라인을 가지고 나머지 지방의료원들에 대한 보안 취약점 진단을 연합회에서 자체적으로 진행하려 한다. 지방의료원들을 위한 보안 표준지침 가이드를 배포할 예정이다. 올해를 기점으로 34개 지방의료원들의 보안 체계가 갖춰지게 되는 것이다. 중앙 센터에서 전국 지방의료원들의 보안을 총괄적으로 지원해주는 체계를 만들어 갈 예정이다.
- 병원업계 보안강화의 필요성이 높아진 이유는.
병원들의 업무 전체가 전산화되다 보니 최근 보안의 중요성에 대한 인식이 과거보다 높아졌다. 병원의 수익구조가 좋지 않고 급한 업무 중심의 투자를 해왔기 때문에 보안의 투자는 상대적으로 소홀할 수밖에 없었다. 하지만, 이제 보안 문제가 생겨서 시스템에 장애가 나면 업무가 중단되므로 보안 투자가 불가피하다.
특히, 기존에는 통신보안, 해킹 등의 보안위협 대응을 중요시 했으나, EMR시스템을 도입한 이후로 데이터 보안이 중요해졌다. 실제 데이터 신뢰성을 보장하기 위해 EMR과 함께 데이터 위변조를 방지하기 위한 전자서명, 데이터 암호화 등이 도입됐다.
DB에 대한 보안까지 이뤄져야 하고 나아가 관제 시스템을 구축해 24시간 중앙 통제 및 전산시스템을 관제할 수 있어야 한다. 아무리 보안 솔루션에 대한 투자가 많이 됐어도 지속적인 관리는 반드시 수반되어야 할 것이다.
- 지방의료원들의 보안 수준은.
전산장비 수준도 그렇고 지방의료원들의 보안 수준은 민간 병원들보다 우수하다고 판단한다. 보안 장비, 툴 도입과 관리적 차원에서 지속적인 보안 교육을 진행하고 있기 때문에 특별한 보안 문제는 없을 것으로 본다.
반면, 일부 중소 병원들의 경우 방화벽, IDS(침입탐지시스템) 등 기본적인 보안조치가 안 돼 있어 외부로부터의 보안 위협에 완전히 열려 있는 상황이다. 더 큰 보안 사고를 예방하는 차원에서 법적인 강제성을 두더라도 시급히 보안 투자가 이뤄져야 한다고 생각한다.
- 보안 전문 인력 채용에 대한 부담은 없나.
전국지방의료원연합회에서는 지방의료원의 시스템 운영 관리를 제외한 정보화 기획부터 시스템 개발, 도입, 유지보수까지 정보화 사업을 추진하고 있다. 연합회 내 전산 인력은 22명으로 이중 보안 전문 인력도 한명 있다. 보안 전문 인력은 업무프로그램 개발 시 환자의 개인정보보호를 어떻게 해야 하는지에 초점을 두고 일하고 있다.
지방의료원들의 규모는 100병상~500병상으로 다양하고 전산인력은 1~3명을 보유하고 있다. 복지부 개인정보보호 가이드라인에 따르면, 보안 전담자를 500병상 이상의 병원은 1명, 1,000병상 이상의 병원은 2명을 두도록 되어 있다. 하지만 의료원 가운데 아직까지 보안 전담 인력을 두고 있는 곳은 없다. 신규 보안 인력 채용에 대한 부담은 크지 않을 것으로 본다. EMR 도입으로 인력이 축소될 수 있기 때문에 대체 인력으로서 신규 보안 전문 인력을 채용할 수 있을 것이다.
김정은 기자
jekim92@itdaily.kr