[의료 정보보호-영상] 김진응 신촌세브란스 파트장 “ISMS 인증대상 이외 병원시스템서 보안사고 위험 커”
국내 최대 의료기관 개인정보보호 및 정보보안 컨퍼런스 MPIS 2020이 7월 30일 서울 역삼동 한국과학기술회관 지하1층 대회의실과 로비에서 국공립, 대학, 일반병원 정보보안 실무자들이 대거 참석한 가운데 철저한 방역수칙 하에 성황리 개최됐다.
이번 MPIS 2020에서 신촌세브란스 김진응 파트장은 ‘ISMS 기반으로 한 실질적 보안강화’를 주제로 강연을 진행했다.
김진응 파트장은 “2017년부터 의료정보시스템(EMR, OCS) 및 홈페이지 서비스 운영에 대한 정보보호 관리체계 인증(ISMS)을 유지하기 위해 힘을 쏟고 있다. 하지만 인증범위가 아닌 시스템에 대한 보안관리가 제대로 되고 있는지, 그리고 의료원 내 대부분의 서비스들이 적용받고 있는 의료법, 정통망법, 신용정보법, 개인정보보호법을 잘 준수하고 있는지 잘 체크해야 한다”고 밝혔다.
그는 병원내 ISMS 인증의무대상 외 IT서비스를 통해 중요정보의 유출, 변조, 삭제 등 보안사고 발생 위험성을 지적했다. 즉 협력회사 홈페이지, 환자안전관리시스템, 녹취시스템, KIOSK, 협력의사시스템, 임상시험연구시스템, 모바일 앱 등에서 보안사고가 발생할 수 있다는 것이다.
이에 ISMS 인증 대상 외 서비스의 정보자산 및 이해관계자를 관리해야 한다고 조언했다. 또 등록번호만 알면, 의료원 내에서 수집, 이용할 수 있는 정보가 너무 많다고도 지적했다. 키오스크 본인 인증 절차를 강화하고 외래원무의 편의성에 치우쳐 발생한 운영상의 위험, 그리고 진료예약 홈페이지 등 타 시스템 취약점 등과 결합해 대량의 민감정보가 유출될 수 있다고 주의를 당부했다. 그리고 개인정보 수탁업체 관리, 감독이 중요하다고 강조했다. 또 업무 특성을 고려한 안전한 네트워크 구성 및 관리가 필요하다고 덧붙였다.
보다 자세한 내용은 위 강연 영상을 참조하면 된다.
이번 MPIS 2020은 데일리시큐가 주최하고 보건복지부, 대한병원정보협회, 대한병원정보보안협의회, 대한보건의료정보관리사협회 등의 후원으로 개최됐다.
한편 MPIS 2020 발표자료 파일은 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★