의료 서비스에 있어서 정보보안의 중요성


 의료기관(병원, 연구소 등 포함)의 경우, 민감한 데이터들을 많이 보유하고 있으며, 보안문제외에도 프라이버시 문제가 동시에 대두될 수 있는 기업군이라 할 수 있다. 의료기관들에 있어서 보안솔루션이 대대적으로 구축된 사례는 아직 많지 않은 것으로 조사되고 있는데, 이러한 이유는 의료기관의 핵심업무가 전통적으로 엑스트라넷(Extranet)간 또는 유관기관간 EDI(전자문서교환시스템) 등 TCP/IP를 사용하지않는 프로토콜로 기관간 연동이 되어 있는 경우가 많아 보안에 대한 필요성을 아직까지 크게 인식하지 못하고 있기 때문이다. 또한, 기존의 업무 자체가 전산화가 이루어졌다고 해도 프로세스 개선차원에서의 내부 전산화이지, 병원의 핵심업무인 대민 치료업무 자체가 인터넷이나 전산 시스템을 통하여 직접 진행되는 경우는 극히 적기 때문이다.

이러한 이유로 의료정보라는 산업군은 타 산업군에 비하여 보안의식이 낮은 편에 속하며, 보안 체계 확립도 미흡한 편에 속한다. 이번 강의에서는 상기와 같은 의료정보 산업군의 보안의 취약점과 미흡한 보안의식에 대한 내용을 언급할 것이며, 의료 정보 산업군에서는 무엇을 보안해야되며, 어떻게 보안해야 되는지에 대한 개념을 소개한다.

의료 업무에 사용되는 주요기기들은 모두 전용장비들로 콘솔 프로그램 자체는 PC기반이기는 하나, DOS를 기본으로하여 가동되는 장비들이 주로 존재한다. 즉, 핵심적으로 보안에 신경써야 할 부분은 일반병원의 경우 개인신상 자료와 병력기록, 치료내역들이 담겨있는 PC들이 되겠으며, 대형 대학부설 병원및 제약/의료유관 연구소들의 경우 MRI를 비롯한 의료 영상 데이터들과 특허와 맞물려있는 기밀데이터들이 저장되어 있는 서버들이라 할 수 있다.

보안의 3대 요소인 가용성, 기밀성, 무결성 중에서 가용성 부분에 대한 언급을 하면 이런 영상 데이터들의 경우, 해상도가 높기 때문에 데이터 사이즈가 상당히 크다. 네트워크 성능에 영향을 끼치는 것은 세션 수도 있겠지만, 전송되는 데이터 사이즈 역시 상당한 영향을 미친다. 이들 데이터들이 전송될 때 신속히 안정적으로 전달하기 위해서는 IT 인프라가 가장 먼저 고도화 되어야 하며, 보안기술 역시 이에 맞게 적용이 되어야 한다.

의료정보는 프라이버시 문제와 연동하여 향후 2년 이내에 보안의 중요성이 제도적으로 부각될 것으로 보인다. 의료기관간 개인 의료정보를 공유할 때, 또는 의약분업으로 인해 개인의 자료가 여러기관에 소산 보관될 수 있으므로, 약국과 의료기관간 개인의 의료정보 프로파일을 공유하려는 시도가 늘어남에 따라, 보안에 대한 필요성은 급증하게 될 것이다.

정리하자면, 이번 강의에서는 세계적인 보안의 추세와 의료정보산업에서의 보안 위협과 중요성, 이에 대한 정보보호대책에 대한 소개의 시간을 갖고자 한다. 또한, 개개인이 자신의 주변에서 직접 생활화 할 수 있는 보안의 원칙에 대해서도 소개하고자 한다.

2003년 6월 

(주)안철수연구소 보안컨설팅사업부
선임 컨설턴트 김 용 규