[데이터시대 책갈피] 의료데이터, 더 이상 정보보안조치 피할 수 없다

박찬휘 개인정보보호협회 총괄본부장

박찬휘 개인정보보호협회 총괄본부장

[파이낸셜뉴스] 최근 개인정보 유출에 따른 과징금 이슈가 뜨겁다. 과징금의 기준이 강화되어 공공기관부터 일반 기업에 이르기까지 다양한 위반 사례가 적발되고 있으며, 최근에는 중소기업의 위반에 대해서도 대기업 못지않은 과징금액이 산정되어 이슈가 되고 있다. 개인정보 보호 위반에 대한 적발은 규모와 형태의 구분이 사라졌다. 이런 최근 사례를 살펴보면 두 가지 시사점을 확인할 수 있다.

첫째는 외부의 공격이 아닌 내부의 관리상의 문제로 인해 발생하는 경우가 빈번하다. 특히 최근 사례일수록 외부 해커의 공격이 아닌 내부 관리에 대한 통제문제로 유출된 경우가 많다.

둘째는 유출된 정보 중에 가장 민감한 주민등록번호가 포함된 경우가 많다. 완전한 주민등록번호 유출은 심각한 2차 피해로 이어질 수 있다. 요즘처럼 온라인에서 개인정보만으로 큰 금액이 오갈 수 있는 시대임을 감안한다면 상당히 위험천만하다.

주변을 살펴보자. 우리 곁에는 내부 통제가 매우 취약하고 직접 주민등록번호를 입력해야 하는 필수 서비스가 있다. 바로 병원이다. 병원에 처음 방문하면 가장 먼저 하는 것이 무엇일까? 증상의 호소나 의료진의 선택이 아니다. 바로 주민등록번호를 뒷자리까지 입력하는 것이다. 이렇듯 내 민감정보를 기입하는 것이 너무나 자연스러운 공간이다. 병원은 과연 안전하게 내부통제가 되는 곳일까? 주민등록번호 뿐 아니라 내밀하고 숨기고 싶은 기록, 그리고 어쩌면 내 건강 관리에 중대한 영향을 주는 소중한 기록들은 모두 안전하게 관리되고 있는 걸까?

안타깝지만 개인정보 수집 방식이나 관리에 대한 내부통제는 아직 많이 부족한 편이다.

예를 들어 보자. 정부의 의대증원 정책으로 인해 갈등이 격화된 어느 날, 의사 커뮤니티에는 하나의 글이 올라왔다. “전공의는 사직하기 전에 의료 정보를 삭제하고 나와라”라는 지침이었다. 파업의 효과를 극대화하기 위하여 의료진의 오더 등이 포함된 병원 전산망의 정보를 삭제하거나 변조하라는 내용이었다.

상당히 충격적인 내용이 아닐 수 없다. 의사가 환자의 건강과 직결된 의료 정보의 보존을 도외시한다는 내용이 충격적인 것이 아니라, 개인의 진료와 처치에 관한 정보가 이렇게 쉽게 내부에 의해 위∙변조와 삭제가 가능하다는 것이 충격적이다. 이런 지침이 실존한다는 것은, 대한민국에서 의료 정보를 기록하고 보존하는 방식에 상당히 취약하다는 말처럼 들린다.

실제로 상급종합병원 및 일부 종합병원을 제외하고 대부분의 병원은 개인정보보호의 사각지대였다. 의료법시행령 42조2항에 의하면 의료기관은 예외적으로 주민등록번호를 직접 취급이 허용된 기관이다. 그래서 의료분야는 금융, 통신과 더불어 아직도 주민등록번호 뒷자리를 입력해야 하는 “전통적인 방식을 사용하는” 곳이다. 그나마 금융과 통신은 최근 몇 년 사이 온라인 서비스가 보편화되면서 이용자의 비밀번호 사용 방식 대신 OTP와 같은 멀티팩터 인증이나, 소셜 인증과 같은 간편인증 선택이 도입되어 보안을 강화하고 있다. 하지만 병원은 다르다. 상급종합병원이나 대형병원의 경우, 진료 예약 시 간편 인증 방식 등을 일부 적용하고 있으나, 병원 업무 특성상 아직도 서류에 주민등록번호와 민감정보 등을 적어서 접수를 받고 있는 것이 현실이다.

병원만, 오직 병원만 90년대 후반에서 멈춘 느낌이다. 상급종합병원을 제외한 많은 병원들은 아직도 의료 결과를 CD로 전달하고 종이 양식의 동의서를 사용하기도 한다. 그리고 이런 운용방식은 절대 변하지 않을 것처럼 보였다. 왜냐면 의학영상 전송시스템(PACS)와 같은 병원의 데이터는 외부와 연결될 이유도 없고 오직 내부의 의료진만 접속하여 사용하는 용도로도 쓰였기 때문이다. 그래서 클라우드, 망분리, 이중인증 등 내부통제를 위한 보호대책을 적용하고 사용하는 병원은 정보보호관리체계(ISMS) 인증, 전자의무기록시스템(EMR, Electronic Medical Record) 인증 제도를 받은 상급종합병원과 일부 대형병원 뿐이다. 대다수의 병원은 안전한 개인정보관리를 위한 내부통제 강화에 대한 거부감과 보안기술 적용에 대한 예산이 부족한 것이 현실이다.

그러나 이제는 상황이 달라졌다. 지난달 30일 개인정보보호위원회는 보건의료를 포함하여 전분야 마이데이터사업의 입법을 예고하였다. 이제 병원은 외부의 트래픽과 연결될 것이다. 변화는 여기서 멈추지 않는다. 수많은 예약 시스템, 진료결과 모바일로 열람, 전자처방전 등 많은 환자 중심의 서비스가 이어질 것이다. 이제 병원은 더 이상 정보보안조치를 외면할 수 없는 상황이다.

의료의 트렌드도 바뀌고 있다. 이른바 정밀의료라는 말이 있다. 개인의 병력, 임상, 생활습관, 유전체정보까지 모두 활용하고 이를 분석하여 맞춤형으로 의료를 제공한다는 말이다. 정밀의료는 미래형 의료의 초석이고 개인화된 정보 기반의 의료를 구현하겠다는 것이다. 더 나아가 AI를 도입하여 예측 가능한 의료를 통해 글로벌 경쟁력을 갖추기 위해 반드시 지나쳐가야 하는 길이다. 이제는 더욱 많은 중요 정보들이 병원을 관통하여 활용될 것이고 다시 말해 병원의 정보보안이 뚫리는 것은 그 어떤 산업의 사례보다 심각한 재앙이 될 것이다.

물론 병원의 의료진은 항시 바쁘다. 응급한 상황에서는 의료데이터의 정보보안은 생명을 구하는 것에 비해 우선시될 수는 없다. 의사나 간호사들에게 더 세심한 관리와 주의를 당부할 수 있는 현실이 아니다. 그래서 정보보안에 대한 투자와 물리적 시스템이 더욱 중요하다. 사람이 할 수 없는 일은 보안 구조의 강화를 통해 이루어 내야 한다. 미래를 대비하는 병원이라면 환자의 개인정보와 민감정보를 보호하기 위한 정보보안조치 강화와 이와 관련된 예산의 확대는 이제 선택이 아닌 필수가 되어버렸다.