데일리시큐는 최근 한기태 회장을 만나 수상 소감과 함께 병원 의료정보보호 현안 등에 대해 들어보는 시간을 가졌다.
한기태 회장은 의료기관 ISMS(정보보호관리체계) 인증 의무화가 안정되게 정착될 수 있도록 병원들의 인식개선을 위해 협회장으로서 가이드라인을 만들어 교육과 홍보 등 많은 노력을 기울였고 이외에도 의료정보 비석별화조치 위원으로 활동과 건국대학병원 정보보호 공시 등에도 앞장 서는 등 의료기관 정보보호 발전에 많은 공로를 인정받아 이번에 장관상을 수상하게 됐다.
한 회장은 “올해 의료기관 ISMS 인증 의무화가 되면서 인증 준비를 어떻게 해야 하는지 정보 공유와 교육에 힘을 쏟았다. 지난 5월에 개최된 MPIS 2017에서도 ISMS 인증 준비 노하우를 많은 의료기관 담당자들을 대상으로 공유하기도 했고 자문을 구하는 병원들을 대상으로 교육도 지원해 왔다”며 “병원이 관리하고 있는 데이터는 병원 내부 데이터 뿐만 아니라 국민들의 의료정보도 같이 관리하고 있기 때문에 유출사고 발생시 너무 민감하다. ISMS 인증을 받는 것이 힘든 과정이지만 의료기관이라면 꼭 필요하다고 생각했다. 그래서 대한병원정보협회 회원 병원들을 중심으로 인증을 독려해 왔다”고 말한다.
이어 그는 “병원은 신규 환자와 재진료 기록 등 계속 개인의 의료정보가 쌓여가기 때문에 철저한 보안관리가 필요한 기관이다. EMR 데이터와 같이 환자 전자의무기록이 외부로 유출되는 것도 막아야 하고 특히 의료장비에 대한 보안도 필요하다. 의료장비는 환자의 생명과 직결되는 장비이기 때문에 해커들의 침투에 대비해야 한다. 현재 의료장비에 대한 ISMS 인증 항목이 빠져있는데 이 부분에 대한 제도적 정비도 필요하다”고 강조했다.
한편 건국대학병원은 KISA에서 운영하는 정보보호 공시제도에도 최근 참여했다. 정보보호 포털에 건대병원이 IT 예산 대비 얼마의 정보보호 예산을 투자하고 있으며 ISMS 인증과 어떤 정보보안 활동들을 하는지 공개하는 제도다. 공시제도에 참여 또한 한 회장의 작품이다. 그는 공시제도에 참여함으로써 건대병원이 정보보안에 어느정도의 인적, 물적 자원을 투자하는지 명시화하고 매년 비교도 하면서 발전시켜 나갈 수 있을 것이라 말했다. 이런 객관적이고 공개된 자료를 통해 다른 병원과 비교도 해 볼 수 있고 경영진의 보안에 대한 인식변화도 가져올 수 있어 적극적으로 참여하게 됐다는 것이다.
실제로 의료기관은 의료정보 유출과 의료장비에 대한 침투 공격을 동시에 대비해야 하는 사이버 위협의 최전선에 있는 기관이다. 특히 대형병원들은 최근 사이버 공격자들이 가장 관심을 갖고 있는 분야다. 의료정보를 빼내 판매하거나 랜섬웨어 감염을 통해 진료를 방해해 돈을 갈취하려는 악성 해커들의 계속 증가하고 있다. 또한 보안이 이루어지지 않고 있는 의료장비를 대상으로 한 해커들의 해킹공격과 연구도 활발히 이루어지고 있다. 한국도 의료장비 정보보안에 보다 철저한 대비가 필요하다.
이런 상황들을 직시하고 있는 한기태 회장은 의료기관들이 정보보안 체계 확립에 지속적인 투자와 노력을 기울여 주길 바라고 2018년에도 의료기관 정보보안 발전에 보탬이 될 수 있도록 다양한 활동들을 전개해 나가겠다고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★