병원정보보안협의회(회장 박종환, 삼성서울병원 CISO)는 2023년 의료환경에서 정보보안 키워드를 선정해 발표하였다.
정보보안 키워드 선정은 2022년 12월 16일부터 2022년 12월 31일까지 협의회 회원을 대상으로 키워드를 응모하여 후보 키워드 30여 개를 도출하였고 협의회 임원진들이 트렌드와 중요도를 반영하여 올해의 키워드 10개를 최종 선정하였다.
병원정보보안협의회에서 선정한 올해의 정보보안 키워드는 다음과 같다.
1. 업무연속성 계획(BCP, Business Continuity Plan)
작년 10월 카카오의 서비스 중단 사고로 인하여 모든 산업 분야에서의 업무연속성 계획이 도마 위에 올랐다. 특히 병원은 24시간 365일 무정지·무장애의 의료서비스를 지원해야 하므로 병원에서의 업무연속성 계획은 어느 산업 분야에 비해 더욱 중요하다. 이번 카카오 사태와 같이 IDC 및 정보시스템의 관리 미흡에 따른 시스템 중지 및 데이터 손실 등은 병원의 지속적이고 안정적인 의료서비스 운영에 치명적 위험이 될 수 있다. 이에 따라 많은 병원들이 시스템 이중화 및 DR센터 구축 등을 금년 예산에 반영하였다. 2023년은 의료기관의 업무연속성을 점검하고 보완하는 한해가 될 것이다.
2. 의료 마이데이터 보안
의료기관, 공공기관 등에 분산된 자신의 건강정보를 통합적으로 조회하고 확인하여 원하는 헬스케어 서비스를 지원받을 수 있는 의료 마이터 서비스가 시작되었다. 개인 건강정보 활용 생태계의 조성을 통해 의료서비스의 질 향상, 의료전달체계 강화, 국민 참여 기반 건강관리 활성화가 가능해 질 전망이다. 그러나, 어떤 정보보다 민감한 건강정보가 한 곳으로 쏠리면서 개인정보의 누출 위험성은 더욱 커졌으며 이에 대한 위험성이 중요한 이슈로 떠오르고 있다.
3. 스마트 의료기기 IoT 보안
4차 산업혁명 시대가 본격화되면서 사물인터넷(IoT)의 기술을 접목한 다양한 기술을 갖춘 의료기기가 일상에 자리 잡고 있다. 원격 의료와 모니터링을 지원하고 네트워크로 연결된 의료기기들이 환자의 안전을 확보하면서 의료의 효율성을 높일 수 있게 되었지만 반대로 IoT 기술의 취약성을 이용한 의료정보 유출과 사이버 공격 등 각종 위험을 초래할 가능성을 가지고 있다. 의료환경에서의 ICT 의존도가 높아짐에 따라 병원들이 보안 위협이나 사고에 대해 빠르게 대처하고 정상적으로 시스템을 운영할 수 있는 신뢰성을 확보하는 것이 중요하게 되었다.
4. 수술실 CCTV 보안
수술실에 CCTV를 설치하고 환자 등 정보주체의 동의가 있는 경우 의료행위 장면을 촬영하여 보존해야 하는 수술실 CCTV 설치 의무화가 올해 9월부터 시행될 예정이다. 수술실 내 CCTV 설치만큼 중요한 것이 영상의 저장·관리에 관한 것으로 촬영된 영상에 대한 안전한 저장, 데이터 유실 및 조작 방지, 접근통제가 중요한 보안 이슈로 떠오르고 있다. 또한, 영상반출 시 영상·이미지 모자이크 처리, 영상정보 자동 파기, 영상 암호화 및 원본영상 위·변조 검증 등의 기술 지원이 필수적이 되었다.
5. 보건의료데이터 가명 처리
보건의료 분야에서 가명정보를 활용한 연구가 활성화 되도록 의료계와 산업계의 의견을 반영한 「보건의료데이터 활용 가이드라인」이 개정되었다. 이번 가이드라인의 개정은 개인정보를 철저히 보호하면서도 가명처리 과정에서 발생하는 현장의 애로사항 해소에 중점을 두었다. 이번 가이드라인에서는 의료영상정보 가명처리 기준이 명확화 되고, 데이터 심의위원회 운영이 간소화 되었다. 이에 따라 의료기관 내 데이터 심의위원회 구성이 본격화 될 전망이다.
6. 클라우드 의료정보시스템 보안
EMR 인증제 시행 후 클라우드 EMR에 대하여 3곳(고려대학교 의료원, 이지케어텍, ㈜헬스허브)이 2022년 인증을 받았다. 클라우드 EMR은 보안관제 및 시스템 관리를 민간 클라우드 데이터 센터가 24시간 전담하기 때문에 중소 병·의원이 안정적으로 진료정보를 관리하는데 도움이 될 것으로 기대하고 있다. 그러나, 클라우드 서비스를 운영하고 관리하는 과정 및 클라우드 구성에 존재하는 취약점으로 인한 클라우드 보안 이슈를 기술적, 관리적으로 통제할 방법을 적용하여 해결할 수 있는 방안이 더욱 중요해졌다.
7. 제로 트러스트(Zero Trust)
제로 트러스트는 ID 및 권한을 검증하기 전까지 어떤 사용자나 디바이스도 신뢰하지 않아 리소스에 접근할 수 없도록 하는 것으로 ‘신뢰하되 검증’하는 방식에서 ‘신뢰하지 않고 항상 검증’하는 것으로 인증 방식을 전환하는 것이다. 코로나 등으로 인한 원격근무, 원격의료 등으로 업무 형태의 전환에 따라 병원 내·외부의 경계가 모호해지는 상황에서 병원의 정보 인프라와 병원에서 보유하고 있는 민감한 정보를 보호하기 위해서 차세대 사이버 보안 모델인 제로 트러스트가 의료정보시스템 인증의 표준 모델로 떠오르고 있다.
8. 타겟형 랜섬웨어
이전보다 더욱 고도화된 방식으로 발전한 의료기관 타겟형 랜섬웨어의 출현은 병원에서의 안정적이고 지속적인 의료서비스 제공에 있어 위협이 되고 있다. 특히 대기업, 제조시설, 금융기관 보다 보안 수준이 높지 않은 병원은 타겟형 랜섬웨어의 표적이 될 수 있을 것으로 판단된다. 타겟형 랜섬웨어 공격은 의료정보시스템을 마비시켜 시스템 가용성을 위협할 수 있고, 개인정보와 의료정보를 탈취해 블랙마켓에 판매할 수 있는 2차 피해까지 예상된다. 병원의 전사적 망분리의 도입 등 대응이 필수적으로 요구된다.
9. 의무기록 무단열람 방지 프로세스
EMR이 도입되며 의무기록의 접근성 및 활용성이 좋아진 반면, 비인가자에 의한 무단 열람 또는 업무 목적 외 의무기록 열람 가능성은 커졌다. 국내 EMR이 본격적으로 도입된 시기는 「개인정보 보호법」이 도입되기 이전인 2003년으로 당시에는 개인정보 보호보다는 의무기록의 접근성 향상을 통한 진료 및 프로세스 개선이 더 강조되었다. 최근 개인정보의 중요성이 강조되고 있고 의무기록의 무단열람이 사회적 문제가 되면서 의무기록 무단열람을 방지할 수 있는 새로운 접근통제와 프로세스가 필요하게 되었다.
10. 의료기관 정보보호 공시
2022년 상급종합병원의 정보보호 공시가 의무화 됨에 따라 총 37개 병원(의무공시 33개, 자율공시 4개)에서 병원의 정보보호 투자·인력·인증·활동 등 정보보호 현황을 공시하였다. 정보보호 공시를 통해 환자에게는 정보보호를 병원 선택의 객관적인 기준 중 하나로 제시하게 되었고, 병원에게는 정보보호를 병원경영의 중요요소로 포함하여 정보보호 투자 활성화의 효과를 보았다. 올해는 의무공시 대상 병원 외 더 많은 병원들의 자율적으로 참여가 예상된다.
병원정보보안협의회 황연수 학술분과장(분당서울대학교병원 CISO)은 “병원정보보안협의회는 의료기관 및 의료산업에서 근무하고 있는 정보보안 전문가들의 모임으로 현재 100여명의 회원들이 활동하고 있다. 코로나의 영향으로 디지털 혁신은 더욱 가속화되고 그 변화의 중심은 바로 의료환경이 되고 있지만, ICT 기술의 편리함과 초연결성의 이면 뒤에는 보안에 대한 위협이 도사리고 있다. 이러한 보안 위협에 대응하기 위해서는 의료계 보안인들의 네트워크 구성을 통한 공동 대응 노력이 더욱 중요한 만큼 많은 보안인들의 참여를 기다리고 있다”고 말했다.
★정보보안 대표 미디어 데일리시큐!