최근 의료기기들은 사물인터넷(IoT) 기술 도입으로 취약점이 증가하고 있다. 의료 기술이 발전함에 따라 데이터 활용이 증가하고 개인정보 보관량이 폭증하면서 의료기관은 환자 개인정보와 민감한 의료 데이터를 적절히 관리해야 하는 무거운 책임을 지게 됐다.
그러나 이러한 발전은 의료기관의 보안 취약성을 높였고 이에 따른 데이터 유출과 해킹 사고가 급증하고 있다. 이러한 상황에서 의료 보안 강화와 안정성을 위해 '(가칭) 한국의료보안원' 설립이 필요한 시점에 도달했다. 한국의료보안원 설립이 왜 필요한지 살펴보자.
첫째는 의료 보안 인프라 시스템 강화가 필요하기 때문이다.
현재 의료 데이터 증가로 인해 의료기관은 방대한 양의 민감 정보를 다뤄야 한다. 한국의료보안원은 의료기관의 보안 인프라를 강화하기 위한 전자의무기록(EMR) 시스템 등 의료기관의 핵심 시스템과 데이터베이스에 대한 보안 강화를 앞서서 주도해야 한다.
EMR 인증제의 12개 보안성 점검 같은 기본적인 보안 인프라 점검은 물론 강력한 보안 체계와 적절한 암호화 기술, 정기적인 보안 로그 감사 등을 도입해 의료 데이터의 안전성을 제고할 필요가 있다.
둘째는 최신 보안 기술을 의료기관 시스템에 적용·관리해야 한다.
사이버 공격의 지능화로 인해 의료보안은 더욱 높은 수준의 기술을 요구하고 있다. 이를 위해서는 의료기관에 최신 보안 기술의 도입·연구에 주력해야 한다. 생체인식 기술, 인공지능(AI) 기반의 위협 탐지, 블록체인 기술 등을 활용해 의료 데이터를 효과적으로 보호하고 의료 환경에서 발생할 수 있는 다양한 보안 위협에 대응할 수 있도록 해야 한다.
반면 현실은 언제 누가 의료기관 시스템에 보안을 업데이트했는지 관리가 제대로 되고 있지 않다. 실제로 유럽에서는 의료기관 해킹으로 인명사고가 발생하기도 했다.
셋째는 의료기관 구성원의 보안 교육과 인식 확산이다.
현재 EMR 인증제에 담긴 보안 관련 12개 체크 리스트만으로 보안 시스템 강화는 충분하지 않다. 의료 종사자의 보안 인식이 높아져야 전체적인 의료 보안이 향상될 수 있다.
가까운 시일 내에 한국의료보안원을 설립해 다양한 보안 관련 교육 프로그램을 개발하고 의료 종사자 대상으로 보안 인식을 제고해야 한다. 이처럼 의료 종사자 간 소통과 협력을 강화해야 보안 사고의 조기 발견과 대응이 가능해질 것이다.
이를 기반으로 의료기기 업체까지 포함한 의료기관 생태계 전 구성원의 보안 인식 제고를 주도하고 서로 돕고 감시하는 기능이 필요하다.
넷째는 국가 차원의 의료보안 표준화와 지원이다.
국가 차원에서 의료 보안에 대한 표준을 제공하고 의료기관에 대한 보안 지원을 확대해야 한다. 현재 한국인터넷진흥원이 제공하는 정보보안관리체계(ISMS)는 의료기관과의 적합성이 맞지 않다. ISMS는 통신망 해킹에 대응하기 위한 보안관리체계이기 때문이다.
의료기관에 최적화한 의료보안 관리체계 개발이 필요하다. 이를 의료기관이 준수하도록 권고하고 보안에 필요한 자원과 기술을 지원해 의료 서비스 안정성을 보장할 수 있도록 해야 한다.
이는 의료 보안의 일관성을 유지하고 국가적 차원에서 안전한 의료 서비스를 구축하는 데 기여할 것이다. 또 국가 차원에서 안전하고 신뢰성 있는 의료 서비스를 제공하는 데 큰 역할을 할 것으로 기대할 만하다.
국회와 다양한 기관이 한국의료보안원 설립을 연구하고 논의해 조속하게 설립을 추진할 필요가 있다. 미래융합 시대에 대비하기 위해 의료보안을 강화함으로써 국민에게 안전한 의료 환경을 제공하는데 일조하길 바란다.
이기혁 중앙대 융합보안학과 교수 kevinlee010@cau.ac.kr
