‘더 철저하게 보호하자’…政, 의료정보보호센터 구축 추진

김종덕 복지부 사무관, 의료기관 진료정보보호 추진 방향 및 계획 소개 이원화된 진료정보침해대응센터와 의료기관공동보안관제센터 일원화

2022-11-18     정윤식 기자
(이미지출처: 픽사베이)

정부가 의료기관 진료정보의 철저한 보호를 위해 의료정보보호센터(가칭) 구축을 추진 중인 것으로 나타났다.

그간 진료정보침해대응센터와 의료기관공동보안관제센터로 이원화된 대응체계의 일원화가 목적이다.

김종덕 보건복지부 정보보호팀 사무관은 11월 18일 분당서울대학교병원 헬스케어혁신파크 대강당에서 열린 ‘제17회 병원 의료정보화 발전 포럼’에서 의료기관 진료정보보호 추진 경과 및 향후 계획을 소개하며 이같이 전했다.

정보통신 기술의 발달로 보건의료기관 내부 정보들이 외부와 지속적인 교류를 하고 활용까지 되는 최근 상황에서 보호되지 못한 정보는 의료기관에 피해를 주는 것은 물론 환자의 생명과도 직결된다.

이에 복지부는 그간 의료기관 정보보호 추진을 위해 법적·제도적 기반 마련, 예방 및 대응 조직 마련, 침해대응 예방 서비스 제공, 개인정보 관리 수준 제고 등에 노력했다.

그 결과 정보보호 관련 의료법을 개정했고, 의료기관에 홈페이지 악성코드 탐지 서비스를 제공했다.

김종덕 보건복지부 정보보호팀 사무관. ⓒ병원신문.

아울러 백신접종위탁의원에 랜섬웨어 백신을 설치했으며 개인정보보호 자율규제 및 가이드라인 제·개정 등을 통해 개인정보 관리 수준을 제고한 바 있다.

특히 의료기관 진료정보 침해대응 전담기구인 ‘진료정보침해대응센터(KHCERT, Korea Healthcare Computer Emergency Response Team)’를 한국사회보장정보원에 위탁·운영해 365일 24시간 정보침해에 초동 조치·대응을 꾸준히 해왔다.

실제로 진료정보침해대응센터는 진료정보침해 사고조사 및 원인분석, 재발 방지, 복구지원, 사고 예방, 취약점 점검, 교육, 훈련 등 다양한 업무를 수행한다.

김종덕 사무관은 “정보보호는 보호 그 자체로서만 중요한 것이 아니라 의료기관에 대한 신뢰도를 확보하기 위한 필수불가결한 사항”이라며 “2020년에 개소한 진료정보침해대응센터는 복지부가 직접 진료정보 침해사고를 조사하고 예방하기 위한 활동을 수행한다는 점에서 의료기관에 도움을 줄 수 있다”고 설명했다.

진료정보침해대응센터는 22020년 정식 개소 전까지 △2009년 사이버안전센터 △2012년 의료기관 과제추진 △2015년 민간 ISAC 확대 추진 △2017년 의료 ISAC 설립 기반 마련 △2018년 의료 ISAC 설립 등의 과정을 거치며 발전했다.

한국사회보장정보원은 진료정보침해대응센터 외에도 정보통신기반보호법 제16조에 따라 의료기관공동보안관제센터(의료ISAC, Information Sharing & Analysis Center)도 운영하고 있다.

의료기관공동보안관제센터는 △의료기관 정보침해 단독 대응의 어려움 △보안관리 능력 및 전문인력 부족 △보안솔루션 중심의 보안대책 한계 △상시 보안관제 체계 마련 부족 등의 문제를 해소하는 역할을 한다.

즉, 이처럼 진료정보침해대응센터와 의료기관공동보안관제센터로 이원화된 대응 시스템을 의료정보보호센터(가칭)로 일원화하고 이를 한국사회보장정보원에 위탁하겠다 게 복지부의 복안인 것.

김 사무관의 설명에 따르면 의료정보보호센터는 크게 보안기획팀, 보안관제팀, 침해대응팀으로 나뉜다.

의료정보보호센터(가칭) 구축 추진 계획안

보안기획팀에서는 △정보보안 전략수립 △위협 정보 수집 분석 공유 △정보보안교육 및 대응훈련 △취약점 점검 등을 맡고, 보안관제팀은 △침해사고 접수 △ISAC 회원 보안관제 △ISAC 회원 관리 △민간병원 모니터링 등을 수행한다.

침해대응팀의 경우 △침해사고 조사 △침해사고 분석 △악성코드 분석 △재발방지책 수립 담당이다.

김 사무관은 “센터를 확대·개편하면서 현장의 의견과 요구사항을 적극적으로 전달하고 침해사고 예보·경보·긴급조치·복구 등 의료기관이 취약한 부분 전 과정을 지원할 수 있도록 노력할 것”이라고 말했다.

그는 이어 “모니터링, 취약점 분석·평가, 취약점 동향 파악, 정보보안 교육, 담당자 전문교육, 실시간 보안관제 수행, 침해행위 사전 탐지, 기술조사 및 연구 등을 기반으로 대한병원협회 등 유관기관과 협력해 정보보호 활용 체계를 마련할 방침이니 적극적으로 동참해 달라”고 당부했다.