북핵 위기로 그 어느 때보다 국가안보가 중요시 되고 있다. 유엔 제재에 반발한 북한의 도발 가능성이 높기 때문이다. 특히 직접적인 군사적 도발보다는 사이버 테러와 같은 간접적인 도발  가능성이 높아 철저한 대비가 필요하다.

게다가 최근 의료정보업체 몇 곳에서 환자 의료정보가 유출되는 취약성이 노출된 적도 있어 차제에 북한을 비롯한 테러집단의 사이버 테러와 의료기관의 의료정보 유출 방지하기 위한 방안이 다각적으로 검토되고 있는 것은 필연적인 수순으로 보인다.,

정보보호 관리체계(ISMS) 의무인증 신설을 골자로 한 정보통신망법 개정도 이같은 대응방안중 하나로 보인다. 일정 규모 이상 매출을 가진, 의료법 제3조 제2항에 따른 의료기관을 대상으로 하는 ISMS 의무인증은 이러한 상황논리에 따른 타당성이 없는 것은 아니지만, 유사한 인증제도가 많아 이중규제 성격이 있고 해당 의료기관들에게 비용부담은 물론 적지 않은 행정적 부담요인으로 작용할 수 있다는 점에서 보다 신중한 정책적 접근이 요구된다.

병원업계에 따르면 몇 해 전부터 행정자치부나 보건복지부, 심평원, 미래창조과학부, 보훈처, 교육부 등의 부처에서 인증을 받거나 보고해야 하는 정보보호 업무는 개인정보보호 영향평가를 비롯. 개인정보보호 현장 실태점검, 의료기관인증평가, 개인정보보호 자율점검, 주요 정보통신기반시설, 정보보호 수준진단, 정보관리실태, 개인정보보호 교육 등 8가지에 이른다.

이처럼 의무적으로 보고를 해야 하는 의료기관 정보보호 업무 중에는 1년에 여섯 번 보고하는 경우도 있으며 매년 보고하거나 최대 4년마다 보호해야 하는 업무가 있어 의료기관들로서는 정부의 의무 요구사항 이행에 과부하가 걸려 있는 게 사실이다.

이런 상황에서 이제는 휴대폰이나 홈페이지, 이메일 등을 통한 악성코드 감염과 디도스 공격에 대응하기 위한 ISMS 인증까지 받아야할 처지에 놓이게 된 것이다.

더욱이 ISMS 인증을 받기 위해서는 의무사항은 아니지만, 억대가 넘는 비용을 들여 컨설팅까지 받아야 하기 때문에 의료기관들로서는 여간 곤혹스러운 입장이 아닐 수 없다. 각종 인증에 시달리다 보면 컴퓨터 속도가 늦어져 환자 대기시간이 늘어나는 등의 부작용도 만만치 않아 고민이 여간 아니다.

따라서 의료기관들이 이미 유사한 인증을 충분히 받고 있다는 점을 고려해 ISMS 인증 대상에서 의료기관을 제외해 주거나 이것이 여의치 않으면 점검항목을 축소하고 일정기간동안 준비기간을 가질 수 있게 유예기간을 설정해 주는 등의 정책적 배려가 있어야할 것으로 보인다.

궁긍적으로는 여러 부처에서 시행중인 각종 인증 중에서 중복되는 항목은 정리해 의료기관들의 비용과 행정력 낭비를 줄여 주어야 할 것이다. 관련 업계와 협의해 현장의 상황을 반영한 실효성 있는 정책으로 가는 게 옳지 않을까 생각해 본다. 

병원신문 다른기사 보기