2020-04-07 23:05 (화)
병원정보보안협의회, 2기 본격 행보…병원 보안수준 상향평준화 추진
상태바
병원정보보안협의회, 2기 본격 행보…병원 보안수준 상향평준화 추진
  • 길민권 기자
  • 승인 2019.12.20 09:54
이 기사를 공유합니다

박종환 회장 “4개 분과 중심으로 교육과 자율점검 실시…실질적 도움 줄 것”
박종환(삼성의료원 정보보안팀 팀장) 병원정보보안협의회 회장.
박종환(삼성서울병원 정보보안팀 팀장) 병원정보보안협의회 회장.

지난해 3월 결성된 대한병원정보협회(KITHA. 회장 한기태. 건국대병원) 산하 ‘병원정보보안협의회’가 올해 7월 2기 체제를 구축하고 의료기관 정보보안 발전을 위해 본격적인 행보를 이어가고 있다.

병원정보보안협의회는 1기 50개 병원 100명 회원에서 1년 사이 전국 80개 병원 150여 명으로 회원사와 회원이 크게 늘어났다. 그만큼 의료기관 정보보호에 대한 인식이 자리잡아 가고 있고 협의회가 그 구심점 역할을 하고 있다는 근거로 볼 수 있다. 향후 협의회 가입 병원과 회원수는 더욱 늘어날 전망이다.

1기 협의회는 기본 틀을 만드는 단계였다면 박종환(삼성서울병원 정보보안팀 팀장) 회장이 주축이 된 2기는 실질적으로 병원에서 정보보안업무를 잘 수행할 수 있도록 지원할 수 있는 활동에 초점이 맞춰져 있다.

박종환 회장은 “협의회 2기는 교육, 거버넌스, 심사지원, 학술 등 4개 분과로 움직일 예정이다. 각 분과의 최종 목적은 국내 병원들의 보안 수준이 향상 될 수 있도록 상향 평준화 시키는 것이다. 교육과 정보공유를 통해 보안인력과 투자가 힘든 병원들까지도 보안역량을 끌어올려 국민의 민감한 의료정보를 보호하고 병원 운영에 지장을 줄 수 있는 외부 해킹 등을 차단하자는 취지다”라고 설명했다.

각 분과별 주요 업무를 보면, 교육분과는 전체 병원들이 같은 교재로 교육하다 보면 비슷한 수준으로 보안 수준이 올라갈 수 있기 때문에 각 병원에서 자체적으로 만들던 교육 교재를 교육분과에서 개발해 회원사에 배포할 계획이다.

거버넌스 분과는 병원들이 따라야 할 각종 법규 즉 의료법, 개인정보보호법, 생명윤리관련 법, 정보통신망법 등 다양하고 법 개정도 자주 이루어지기 때문에 수정되는 법규에 따라 병원들이 어떻게 법 규정 지침을 수정해 나갈지 가이드를 해 주는 역할을 담당한다. 보안인력이 부족한 병원에서는 벅찬 일이기 때문에 병원들에게 큰 도움이 될 전망이다.

심사지원 분과는 개인정보관리실태점검을 지원할 예정이다. 협의회 회원들이 각 병원에 대해 자율점검을 실시하고 개인정보보호법 위반이나 미비한 부분이 없도록 도움을 주기 위해서다. 협의회는 이를 위해 회원들이 교육을 받고 심사위원으로 활동할 수 있도록 교육도 준비 중이다.

학술 분과는 협의회 각종 세미나와 정보보안 관련 행사를 지원하는 조직이다.

박종환 회장은 “관련 법이 개정되면 거버넌스 분과에서 각 회원병원에 규정 정보를 공유하고 교육 분과에서 교육자료를 만들고 학술 분과에서 교육을 진행하는 형식이다. 또 심사지원 분과에서 관리실태 점검을 통해 위반 사례가 나오지 않도록 각 병원의 보안 수준을 끌어 올리겠다”며 “교육과 거버넌스 분과는 2020년 1월부터 본격적으로 업무를 수행해 교육자료를 제작, 공유할 계획이다. 이를 통해 법을 몰라서 혹은 교육을 못 받아서 병원 보안에 문제가 발생하지 않도록 공유와 피드백을 지속적으로 이어 나가겠다”고 밝혔다.

한편 협의회는 병원 대상 개인정보관리실태점검을 위해 병원 근무자로 구성된 심사위원 120명을 구성할 예정이다. 병원들은 행정안전부 규정에 따라 5년에 1번 이상 자율 점검을 받도록 돼 있다.

박 회장은 “관리실태 점검은 과태료가 목적이 아니라 자율점검을 통해 문제점을 개선할 수 있도록 하는 것이다. 문제점이 있으면 개선 방안을 알려주고 개선할 시간도 주고 다시 확인해 문제가 재발되지 않도록 하는데 있다. 이를 통해 국내 병원 전체의 보안 수준을 높이는데 목적이 있다”고 밝혔다.

또 “병원의 보안사고는 다른 산업과 또 다르게 발생한다. 의사, 행정, 신입사원, 간호 등에 맞는 교육자료가 필요하고 외부 수탁업체, 시스템 개발자 교육도 다르다. 큰 병원도 버거운 작업이기 때문에 중소 병원들도 도움이 될 수 있도록 병원에 최적화된 교육자료를 만들어 공유하겠다”고 덧붙였다.

박 회장도 병원 정보보안 업무에서 10년이 됐다. 그는 교육이 가장 중요하다고 강조한다. 법 규정을 명확히 알고 병원에 맞는 정책을 수립해 가이드를 만들고 직원 교육이 이루어져야 보안사고를 최소화할 수 있다고 말한다.

그는 또 “국내 병원 중 ISMS 의무화 병원은 42개 기관이다. 예전에는 어떤 기준으로 보안을 해야 할지 부족한 부분이 많았는데 ISMS를 통해 항목별로 명확한 기준을 가지고 보안을 하고 있다. 병원 보안 수준을 높이는데 ISMS는 긍정적인 역할을 했다고 본다”며 “특히 병원 경영진의 마인드도 많이 바뀌고 있다. 환자 정보가 유출되면 병원이 얼마나 힘들어 지는지 알고 있다. ISMS가 점진적인 변화를 가져 올 것으로 본다”고 평가했다.

끝으로 박종환 회장은 “보안은 문화가 되어야 한다. 민감한 환자 정보를 다루는 병원은 필수적으로 보안에 투자를 해야 한다는 인식이 자리 잡길 바란다. 특히 보안인력에 투자가 시급하다. 적정한 보안전문 인력이 병원 내부에 없으면 제대로 된 보안은 기대하기 힘들다”며 “협의회도 전 병원 보안 수준 향상이라는 목적 의식을 가지고 활동하려면 협의회 회원들의 적극적인 참여가 가장 중요하다. 협의회 활동이 선순환 구조를 만들고 그 혜택이 모든 병원에 돌아갈 수 있도록 적극적인 참여를 당부한다. 그리고 지방 병원들까지 참여할 수 있도록 회원사와 회원 확대에 좀 더 노력해 주길 바란다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★