대형병원 해킹 늘어도…일부는 "그냥 과태료 내" 정보보호 외면

백재욱 도봉구의사회 총무이사가 30일 서울 도봉구의 한 병원에서 비대면진료 시범사업 관련 비대면진료 실행 과정을 시연하고 있다./뉴시스

국내 의료기관의 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 획득 노력은 저조하다는 지적이 나온다. 대형병원에 대한 사이버 공격이 빈번하게 일어나고 비대면진료 시범사업이 실시되면서 의료분야 개인정보보호 강화 필요성이 제기돼서다. 이에 정부도 ISMS-P 인증기준을 등급화하는 등 제도 활성화에 나섰다.

27일 조달청 나라장터에 따르면 올해 서울 경희의료원, 부산대 병원, 서울대 병원, 영남대 의료원, 전남대 병원 등 의료기관이 ISMS(정보보호 관리체계 인증) 갱신을 위한 용역 사업을 발주했다. 반면 같은 기간 ISMS-P 컨설팅 용역 사업을 발주한 의료기관은 제주대학교 병원이 유일했다.

ISMS는 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 KISA(한국인터넷진흥원) 또는 인증기관이 증명하는 제도다. 관리체계 수립 및 운영 항목 16개, 보호대책 요구사항 64개 등 총 80개 항목을 인증받아야 한다. ISMS-P는 ISMS에서 개인정보 처리단계별 요구사항 22개 항목을 추가로 인증받으면 획득할 수 있다.

정부는 연간 매출액 또는 세입이 1500억원 이상인 상급종합병원을 ISMS 의무대상자로 지정하고 있다. KISA에 따르면 현재 ISMS 의무대상자인 상급종합병원 45곳은 모두 ISMS를 보유하고 있다. 하지만 의무가 아닌 ISMS-P까지 획득한 의료시설은 삼성서울병원과 국립암센터 2곳 뿐이다.

업계에서는 의료기관에서도 개인정보 유출 사고가 벌어지는 만큼 ISMS-P 의무대상자로 지정해야 한다는 목소리가 나온다. 최근 북한 해커조직이 서울대병원을 공격해 수만명의 개인정보가 유출됐는데 민감정보인 개인 의료데이터를 관리하는 의료기관의 개인정보보호 책임을 강화해야 한다는 지적이다.

임종철 디자이너 /사진=임종철 디자이너

한 보안 업계 관계자는 "환자의 의료데이터를 가지고 시행하는 비대면진료가 확대될 전망이고 의료 마이데이터 산업도 활성화될 수순이라 의료기관의 개인정보보호 강화 조치는 반드시 필요하다"며 "의료데이터는 가장 민감한 정보 중 하나이고 유출될 경우 2차 피해로 이어질 가능성이 높아 종합병원은 물론 일반 병원도 ISMS-P같은 강력한 보안 조치가 필수적"이라고 말했다.

반면 의료계 내부에서는 ISMS-P 제도 확대에 반대하는 목소리도 있다. CISO(최고정보보호관리책임자) 등 전담인력을 둘 정도로 규모가 크지 않고 관련 예산이 부족하다는 이유에서다. ISMS 관련 컨설팅에는 수억원대 비용이 드는 것으로 알려졌다. 이에 일부 사례이지만 인증대신 3000만원의 과태료 처분을 받는 곳들도 있는 것으로 전해졌다.

정부는 ISMS-P 확산에 나서고 있다. KISA는 지난 4월 ISMS-P 인증제도 대국민 인식조사 연구용역을 발주했다. 연구용역을 통해 국민이 ISMS-P에 대한 인지도와 인증범위, 필요한 산업분야 등을 조사할 예정이다.

KISA는 또 같은달 ISMS-P 인증기준 등급화 연구용역도 발주했다. 이를 통해 국내·외 ISMS-P 유사 인증제도 및 등급화 사례를 조사한다. 또 ISMS-P 인증기업의 정보보호 관련 사고 실태를 조사하고 세부항목을 상·중·하 3등급에 적합하도록 고도화할 방침이다. 등급제는 기업들이 ISMS-P 획득을 보다 쉽게하도록 문턱을 낮추려는 것이다.

국회에는 ISMS-P 의무화 법안이 계류 중이다. 양정숙 무소속 의원이 지난해 6월 대표 발의한 개인정보보호법 일부개정안은 연간 매출 또는 세입 등이 1500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월 간 일일평균 이용자 수가 100만명 이상인 개인정보처리자 등을 ISMS-P 의무대상자로 규정했다.

이정현 기자 goronie@mt.co.kr