최근 폭넓게 활용하고 있는 폐쇄회로 텔레비전(이하 CCTV)은 유·무선 인터넷에 연결돼 있는 경우 영상을 실시간으로 전송하거나 원격지에서 상황을 살펴볼 수 있다. 올해 9월 25일부터 수술실 내 CCTV 설치가 의무화된다.
물론 의무화 과정에서 논란이 없었던 것은 아니지만, 관련 법률 및 재원 지원 등이 구체화되면서 의료계는 이제 만반의 준비를 통해 본격적인 시행에 대비해야 하는 상황에 놓였다.
즉, 수술실 내 CCTV 설치 의무화를 피할 수 없는 만큼 이제는 어떻게 해야 민감한 의료영상정보와 개인정보를 철저히 보호하고 의료진과 환자 간의 소통체계를 원활히 할 수 있을지 고민해야 할 시기라는 의미다.
CCTV는 인터넷에만 연결되면 물리적 거리의 제약 없이 어디서나 영상을 확인할 수 있어 유용하지만, 제품 사용 및 영상 전송 과정에서 사이버 공격이나 해킹을 당할 우려가 있으므로 설치·사용하기 전에 보안 위협 요소와 취약점을 찾아 사전에 조치하는 것이 필요하다.
특히 의료기관은 환자의 민감한 의료정보를 다루는 만큼 보안에 훨씬 많은 주의를 기울여야 한다. 더욱이 CCTV와 관련해서 많은 제품이 있으므로 해당 분야에 대한 전문 지식과 경험이 부족한 의료기관이나 의료 종사자 입장에서 무엇을 어떻게 작업해야 하는지에 대한 보다 정확한 정보를 통해 CCTV를 설치해야만 입법 취지를 살릴 수 있다.
이에 병원신문은 스마트의료보안포럼 한근희 의장(고려대학교 정보보호대학원 연구교수)과의 인터뷰를 통해서 향후 수술실 내 CCTV 설치 의무화 도입 과정에서 일선 의료기관들이 주의해야 할 보안 사항들에 대해 살펴봤다. <편집자주>
Q: 수술실 내 CCTV 도입과 관련해 보안과 관련한 내용들이 여럿 있는 것 같습니다. 의료법과 개인정보보호법 중 어떤
것을 준용하는 것이 적절한가요?
A: 법률적으로 일반법과 특별법 중 특별법 우선의 원칙에 따라서 의료기관은 의료법을 우선 적용해야 합니다. 의료법 제38조의2(수술실 내 폐쇄회로 텔레비전의 설치ㆍ운영) 조항이 2021년 9월 24일에 신설됐고 올해 9월 25일부터 적용하게 됩니다.
특히 제38조의2 11항에서 의료법에서 정한 것 외에 폐쇄회로 텔레비전의 설치ㆍ운영 등에 관한 사항은 ‘개인정보보호법에 따른다’로 명기돼 있고, 개인정보보호법은 일반법이므로 다른 법에서 기술돼 있지 않은 내용들은 모두 일반법인 개인정보보호법 보안 요구사항을 준수해야만 합니다.
Q: 수술실에서 촬영된 CCTV 기록영상을 열람하기 위해서는 어떻게 해야 하나요?
A: 일반적인 CCTV 영상은 ‘시설안전 및 화재 예방, 고객의 안전을 위한 범죄 예방, 차량도난 및 파손방지 등의 목적’으로 ‘보안관제’ 업무로 모니터링하고 있습니다. 이는 ‘열람’이라는 행위와 다르므로 ‘보안관제’ 개념과 정보 ‘열람’을 구분해 관리를 해야 합니다.
‘비공개 장소’로 분류된 수술실 내 CCTV 기록영상은 ‘의료법 제38조의2(수술실 내 폐쇄회로 텔레비전의 설치ㆍ운영) 5항의 1호, 2호, 3호’ 중 하나의 조건이 충족해야만 ‘열람’이 가능하기 때문에 아무리 정보주체인 환자나 수술에 참여했던 의료인, 의료기관의 장이라고 할지라도 조건이 충족하지 않으면 ‘열람’할 수 없으며, 제공(사본의 발급 포함) 또한 마찬가지입니다. 이는 의료기관 종사자 모두에게 동일하게 적용됩니다.
Q: 기존 CCTV 영상정보와 수술실 내 CCTV 영상정보를 혼용 관리해도 문제가 없을까요?
A: 의료기관도 시설안전 및 화재 예방, 고객의 안전을 위한 범죄 예방, 차량도난 및 파손방지 등의 목적으로 CCTV를 이미 사용·관리하고 있는 상황입니다. 기존에 관리하고 있던 CCTV는 ‘개인정보보호법’을 근거로 해 선택적으로 설치·운영 등을 한 것이고, 수술실 내 CCTV는 ‘의료법’에 의해 의무적으로 설치·운영을 해야 하는 사항입니다. 영상정보 보관과 관련해서 일반 CCTV 영상정보는 개인정보보호법에 따라 30일 이내 보관하면 되고, 수술실 내 CCTV 영상정보는 의료법 제39조의2 9항에서 30일 이상 보관하게 되어 있으므로, 이를 잘 구분하는 것이 중요합니다.
더불어서 4항에서는 촬영한 영상정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 보건복지부령으로 정하는 바에 따라 내부 관리계획의 수립, 저장장치와 네트워크의 분리, 접속기록 보관 및 관련 시설의 출입자 관리 방안 마련 등 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 해야 한다고 명기돼 있으므로, 의료기관에서는 이를 중점적으로 점검·확인해서 관리해야만 합니다.
Q: 수술실 내 CCTV 설치와 관련해 어떤 보안 조치가 있으며, 보안 조치를 지키지 않았을 때 받게 되는 페널티는 무엇인가요?
A: 수술실 내 CCTV 도입과 관련된 근거법령은 ‘의료법’이고, ‘의료법’에서 정하지 않은 부분은 ‘개인정보보호법’을 준용해야 하기 때문에 수술실 내 CCTV와 관련된 패널티는 ‘의료법’과 ‘개인정보보호법’ 모두 적용된다고 볼 수 있습니다.
‘의료법’에서 보안 조치와 관련된 페널티는 의료법 제38조의2 제4항의 ➀내부 관리계획의 수립 ➁저장장치와 네트워크의 분리 ③접속기록 보관 및 관련 시설의 출입자 관리 방안 마련 등 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하지 않아 ‘촬영한 영상정보를 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손이 됐을 경우’, ‘의료법’ 제88조의 2(벌칙) 2호 ‘제38조의2 제4항을 위반해 안전성 확보에 필요한 조치를 하지 아니하여 폐쇄회로 텔레비전으로 촬영한 영상정보를 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손당한 자’는 2년 이하의 징역이나 2천만 원 이하의 벌금에 처하게 됩니다.
의료법에서 명기된 것에 추가적으로 ‘개인정보보호법’ 제29조(안전조치의무)에서 요구하는 보안 조치를 취하지 않았을 경우 제64조의2(과징금의 부과)와 같이 20억 원 이내에서 과징금을 부과받을 수 있고, 제75조(과태료)에서는 5천만 원 이하의 과태료가 부과됩니다.
관련된 페널티는 ➀개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립 및 시행 ➁개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치 ③개인영상정보를 안전하게 저장, 전송할 수 있는 기술의 적용(네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일에 대한 비밀번호 설정 등) ④처리기록의 보관 및 위조·변조 방지를 위한 조치 ⑤개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설정 등 조치를 하지 않아 ‘안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손’당할 경우 ‘개인정보보호법’ 제73조 1호에 따라 ‘2년 이하의 징역 또는 2천만원 이하의 벌금’에 처하게 됩니다.
주의해야 할 사항은 ‘개인정보보호법’에서 수술실 내 CCTV 영상은 ‘비공개 장소’의 영상이며, 이를 관리하는 주체를 ‘개인정보처리자’로 보고 있기 때문에 영상이 외부로 유출됐다는 의미는 개인정보가 외부에 유출됐다는 이야기가 되므로 ‘개인정보보호법’ 제74조(양벌규정) 적용으로 법인 또는 개인에게도 해당 조문의 벌금형 부과, 동법 제75조 2항의 6호에 따라 3천만 원 이하의 과태료가 부과, 동법 제39조의 15(과징금의 부과 등에 대한 특례)1항 5호에 따라 ‘정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금’이 부과될 수 있을 것으로 생각됩니다.
Q: 수술실 내 CCTV 도입 과정에서 의료기관이 특히 주의해야 할 부분이 있나요?
A: 의료기관의 수술실 내 CCTV 설치비용에 대한 부담으로 인해 저가형 영상정보보안 제품을 제안하는 회사가 많아지고 있습니다. 영상정보보안의 가장 중요한 기능은 수술실 내 CCTV 데이터(영상 정보)의 유출을 막는 것입니다. 수술실 내 CCTV 영상이 저장장치에 저장될 때 암호화해야 하며, 영상정보의 접근 통제 시스템이 필요합니다.
개인정보보호법으로 인해 혹시라도 영상정보 내에 포함된 개인정보가 있을 경우 개인정보 비식별화 기술이 적용돼야 하며, 반출된 영상정보도 무분별하게 활용되지 않도록 암호화 및 위·변조 방지 기술을 적용하면 좋습니다. 영상정보보호 및 영상반출시스템이 수술실 내 CCTV 구축 사업에 핵심 기술임에도 불구하고 의료기관이 수술실 내 CCTV 설치비용이 부담될 것이나 의료법 제38조의2 제1항에서 ‘법령에 따른 폐쇄회로 텔레비전을 설치해야 하고 이 경우 국가 및 지방자치단체는 폐쇄회로 텔레비전의 설치 등에 필요한 비용을 지원할 수 있다’고 해 비용을 지원하는 방안이 고려될 것으로 보이니 이를 적극적으로 활용하는 것도 하나의 방법일 것입니다.
Q: 수술실에서 촬영되는 개인 영상정보는 어떻게 촬영·보관·운용해야 하나요?
A: 촬영된 영상정보는 다양한 침해 사고 발생을 방지 하기 위해 CCTV와 영상 저장장치 및 관련 운영 장비는 별도의 네트워크로 구성해 기존 병원 및 외부망으로부터의 해킹 공격에서 원천적으로 분리해야 하며 최악의 경우로 영상 저장장치가 노출돼 영상정보 파일의 접근이 허용되더라도 영상정보 파일을 암호화해 영상 개인 민감 정보가 유출되지 않도록 해야 합니다. 저장된 영상정보의 접근은 통제되고 기록돼야 합니다. 따라서 내·외부 자료의 모든 접근은 통제되고 권한 있는 관리의 통제에 의한 접근과 관리가 이뤄져야 합니다. 이를 위해 적절한 접근 통제 시스템이 필요합니다
Q: 수술실 내 CCTV 설치를 위한 제품 도입 시 보안조치를 취해야 하다고 하셨는데, 도입 시 최소한의 보안 기능과 도입하는 의료기관에서 취해야 할 조치는 어떤 것이 있을까요?
A: 수술실 내 CCTV 기록영상을 안전하게 관리하기 위해서는 영상 촬영, 네트워크 전송 및 보관, 열람 및 반출 부문 등 의료기관 내부에서 영상 수집 및 보관을 하기 위한 안전조치에 해당하는 부분과 의료기관 외부로 반출할 때 영상 자체의 안전조치를 하는 부분을 구분해서 생각해야 합니다.
첫 번째, 영상 촬영과 관련된 보안 검토사항은 2020~2022년까지 이슈화 됐던 ‘CCTV 내의 악성코드 삽입’과 관련한 내용이 있는데, 도입하고자 하는 CCTV가 이런 보안 취약점이 있는지 꼼꼼히 검토하는 것이 좋습니다.
두 번째, 네트워크 전송 및 보관과 관련한 보안 검토사항은 의료법에 따라 구축되는 수술실 내 CCTV는 기존 의료기관 네트워크와 분리해 구축하는 것이 바람직합니다.
세 번째, 영상정보 열람 및 반출과 관련한 보안 검토사항은 의료법에 따른 열람 및 제공(사본 포함)조건이 충족할 경우에만 열람과 반출이 허용돼야 하고 비공개 장소에 설치된 개인정보처리시스템으로서의 개인정보보호법 제29조(안전조치의무)에 따라 안전조치를 취해야 합니다.
네 번째, 영상과 관련한 보안 검토사항은 수술실 내 CCTV 영상정보 자체가 개인정보이므로 개인정보보호법 제28조의4(가명정보에 대한 안전조치의무 등)와 제28조의5(가명정보 처리 시 금지의무 등)에 따라 가명처리 또는 암호화 등 조치를 취해야 하고, 목적 외 사용이 있는지 등을 점검할 수 있도록 기록해야 합니다.
또한 서면ㆍ전화ㆍ문자전송ㆍ전자 우편 등을 통해 정보 주체가 쉽게 알 수 있는 방법으로 개인정보를 제공한 날부터 3개월 이내에 정보 주체에게 알려야 하며 파기 시 복원이 불가능한 방법으로 영구 삭제를 해야 합니다.
Q: 저장된 영상정보의 외부 반출은 어떻게 해야 되나요?
A: 개인 영상정보 반출은 영상정보 상에서 의료 행위를 위해 요구되는 정보 이외의 개인정보(환자 정보, 개인을 식별할 수 있는 정도 등)는 비식별화를 통해 보호해야 하고 비식별화한 정보는 역으로 해독할 수 없도록 불가역적인 기술로 보호해야 합니다.
영상정보를 요청하는 자의 신원 확인 및 정당한 사유와 명확한 요구 정보를 기록하고 권한이 있는 관리자를 통해 통제돼야 하며 전 과정이 기록돼야 합니다. 최종 반출되는 영상정보도 무분별하게 활용되지 않도록 암호화 및 위·변조 방지가 적용된 상태의 정보로 반출해야 합니다.
Q: 영상정보에 대한 접근 통제 및 접근 권한의 제안 조치로는 어떤 방법이 있습니까?
A: 영상정보에 대한 접근 권한 제어가 중요합니다. 실제 업무를 담당하고 있는 관리 책임자, 운영 담당자 등 최소한의 인원에게만 접근 권한을 부여하고 영상정보를 취급하고 있는 장소(전산실, 시스템 설치 장소 등)의 접근은 접근 권한이 부여된 자에 한해 허용해야 합니다. 또한 영상정보가 유·노출이 될 경우를 대비해서 CCTV 시스템에 저장되는 영상정보에 대해 실시간 암호화 조치가 필요합니다.
Q: 영상정보의 열람·제공 절차 등을 위한 조치는 어떻게 해야 합니까?
A: 의료법 제38조의2 제5항에 기술된 바와 같이 관계 기관(범죄 수사와 관련한 경찰, 검찰, 그 밖의 수사기관 및 법원)이 해당 의료기관의 장에게 영상정보의 열람 또는 제공을 요청하는 경우 정식 공문으로 열람요청서를 의료기관의 장에게 제출해야 합니다.
요청하는 기관은 해당 기관임을 증명하는 서류(공문)를 첨부해야 하며, 요청하는 기관 또는 개인은 정보 주체 모두에 대해 받은 열람동의서를 첨부해야 합니다. 열람 등의 요청을 받은 의료기관의 장은 10일 이내에 서면으로 열람 방법을 통지하고 열람 등을 제공해야 합니다. 의료기관의 장은 열람 등을 허용할 경우 요청자의 성명 및 연락처, 요청 영상정보 파일의 명칭 및 내용, 열람 등의 목적, 영상정보 열람 등을 거부할 경우 그 거부의 구체적 사유가 포함된 영상정보 열람 대장을 작성하고 관리해야 합니다.
작성된 영상정보 열람 대장은 3년 동안 보관해야 하는데, 여러 관계기관 또는 개인과 주고받는 공문과 서류를 관리하기 위해서는 영상반출관리 서버를 통한 체계적인 이력 관리 솔루션을 갖추는 것이 좋습니다.
Q: 최근 강남 성형외과에서 IP 카메라를 통한 개인 의료영상정보 유출 사고와 관련해 의료기관에서 고려해야 할 사항으로 어떤 것이 있는지요?
A: 해당 병원에서는 CCTV 시스템을 설치한 것이 아니고 IP 카메라를 설치한 것으로 보이는데, CCTV 시스템을 설치한 경우와 단순하게 IP 카메라를 설치한 경우는 기술적으로 상당한 차이가 있습니다. 특히 보안 요구사항을 적용하려고 할 경우에 더욱 차이가 발생합니다.
해당 의료기관은 추가로 알려진 내용에 의하면 개인정보보호법 제25조의2(고정형 영상정보처리기기의 설치ㆍ운영 제한) ‘누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 고정형 영상정보처리기기를 설치ㆍ운영하여서는 아니 된다’로 명기된 조항을 명백하게 위반한 것입니다.
법규에서 구현하라는 것은 필히 구현해야 하고, 하지 말라는 것은 절대로 하지 말아야 합니다. 법규를 지키지 않을 경우 해당 법에 의해서 강력하게 처벌받게 될 것입니다. 법에서 정한 보안 요구사항을 잘 준수했을 경우에는 설혹 어떤 문제로 인해서 민감한 개인 의료정보가 유·노출됐다고 하더라도 형사적 처벌은 받지 않게 됩니다.