2020-11-24 01:10 (화)
[의료 정보보호-영상] 박종환 삼성서울병원 CISO “상시 보안점검 이외 테마점검 필요”
상태바
[의료 정보보호-영상] 박종환 삼성서울병원 CISO “상시 보안점검 이외 테마점검 필요”
  • 길민권 기자
  • 승인 2020.08.06 13:17
이 기사를 공유합니다

병원정보보안협의회, 병원의 보안 수준 상향 평준화 목표로 활동 전개

국내 최대 의료기관 개인정보보호 및 정보보안 컨퍼런스 MPIS 2020이 7월 30일 서울 역삼동 한국과학기술회관 지하1층 대회의실과 로비에서 국공립, 대학, 일반병원 정보보안 실무자들이 대거 참석한 가운데 철저한 방역수칙 하에 성황리 개최됐다.

이번 MPIS 2020에서 삼성서울병원 CISO 박종환 상무(병원정보보안협의회 회장)는 ‘의료기관 보안이슈 및 병원정보보안협의회 활동 보고’를 주제로 강연을 진행했다.

박 상무는 “한국판 뉴딜의 핵심은 데이터 활용이다. 특히 의료정보 활용이 활성화되면서 동시에 데이터 보호가 최대 이슈가 될 전망이다. 또 상시 수행하는 보안점검 이외에 보안취약점 및 사회 현상을 고려한 테마 점검이 필요하다”며 “법 준거성, 물리적 보안, 무단반출, 부정접근, SNS, 시스템 점검, 악성코드 감염, 업무과실, 협력업체 점검 등이 테마점검에 해당된다”고 설명했다.

◇상시 보안점검 이외에 테마점검 필요해

테마점검 주요 내용에 대해, △병원은 물리적으로 외부인의 출입을 통제할 수 없기 때문에 서랍, 캐비닛, 출입문 등 시건장치를 철저히 하고 환자정보 출력물의 관리 강화가 필요하다고 강조했다.

그리고 △임직원 실무 및 고의에 의한 환자 개인정보에 대한 부적절한 접근에 대해 점검 및 관리 강화가 요구된다. 또 △개인 용도 및 연구 등 진료 외 목적으로 활용하기 위해 병원의 환자 정보를 외부에 무단 반출하거나 유출에 대비한 모니터링 실시, △SNS 등을 통해 환자의 개인정보 유출 위험이 증가하고 있어 지속적인 점검 및 교육을 통해 사고를 예방해야 한다고 전했다.

이외에도 △임직원의 실수로 타인의 환자 정보가 잘못 전달되거나 분실하는 사고에 대한 확인 및 점검 △랜섬웨어 등 외부 악성 메일 열람 및 첨부 실행으로 PC 감염 시 사용자 부주의 여부를 확인해 징계 및 교육 △시스템의 보안 설정 및 업그레이드 미흡시 개인정보 유출 및 해킹사고가 가능하므로 지속적인 시스템 보안점검 필요 △내부 협력업체 및 교육 목적의 실습생에 의한 보안사고 예방을 위해 담당 관리부서의 보안활동 점검 및 교육 △개인정보보호법 등 관련 법령에서 요구하는 준수사항에 대한 점검 및 개선 △월별 테마를 정해 지속적인 보안점검을 통해 사고 위험을 감소시킬 수 있지만 경영진의 관심과 지속적인 교육을 통한 자발적 보안 개선 활동이 필요하다고 말했다.


◇병원정보보안협의회 활동

한편 민감한 환자 개인정보를 관리하는 의료기관들의 정보보안 강화를 위해 설립된 병원정보보안협의회는 의료기관 정보보안 방향 수립, 병원 정보보안 업무 및 인적 교류, 병원 정보보안 업무 지원 등을 목적으로 2018년 6월 활동을 시작했다. 현재 전국 95개 병원이 협회 회원으로 활동하고 있다.

올해 주요 활동은 △정보보안 교육자료 제작 △회원정보 업데이트, 명부 제작 △하반기 표준 규정, 법률 체크리스트 △심사원 교육 실시 △정보보안 교육자료 개성, 보안 사고사례 정리 등이다.

협의회는 거버넌스 분과, 교육 분과, 심사지원 분과, 학술 분과로 나눠 활동을 전개하고 있으며 협의회 대외 업무 역량 향상과 회원들에 대한 실질적 업무 지원을 위해 분과별 세부 추진 과제를 수립, 이행해 협의회 병원의 보안 수준 상향 평준화를 목표로 하고 있다.

보다 자세한 내용은 위 강연 영상을 참조하면 된다.

이번 MPIS 2020은 데일리시큐가 주최하고 보건복지부, 대한병원정보협회, 대한병원정보보안협의회, 대한보건의료정보관리사협회 등의 후원으로 개최됐다.

한편 MPIS 2020 발표자료 파일은 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★