의료와 IT의 만남
의료법에 따른 의료인(의사, 치과의사, 한의사, 조산사 및 간호사)은 의료기관을 개설하지 않고는 의료업을 할 수 없으며, 일부 예외 사항을 제외하고 의료기관 내에서 행하는 것이 원칙이다.
하지만 최근 높아진 원격의료, 디지털 헬스케어, 스마트의료 등에 대한 관심과 코로나 상황으로 인해 한시적 비대면 진료를 허용하면서 비교적 간단한 원격의료 형태의 전화상담 처방 사례가 늘어나고 있다.
현재 의료법에는 의사가 "원격진료실과 데이터 및 화상(畵像)을 전송ㆍ수신할 수 있는 단말기, 서버, 정보통신망 등의 장비"를 갖춘 병원에서 원격진료가 가능하도록 규정하고 있다.
이미 원격의료, 스마트 의료 등 의료 환경이 오프라인에서 온라인으로 상당 부분 옮겨가고 있고, 앞으로 네트워크에 연결되는 의료 기기는 더욱 늘어날 수 밖에 없어 보인다.
아직까지 사회적으로 큰 충격을 줄 만한 의료 보안 사고가 발생하지 않아서 수면 위로 보이진 않지만, 의료 시스템의 지속적인 온라인화는 랜섬웨어나 피싱 같은 이슈와는 비교도 되지 않을 위험을 감추고 수면 아래에 웅크리고 앉아 있는 형국이다.
정보보호는 장비나 시설, IT 환경, 사람이 유기적으로 운영될 때 보호 수준을 높일 수 있다. 의료분야도 예외는 아니다.
개인의 신체에 직접적인 위해를 가할 수 있다는 관점에서 심각성이 큰 분야인 만큼, 정보보호 측면에서도 선제적으로 준비해야 할 부분들이 보인다.
의료 디바이스에 대한 보안성 확보
디지털 헬스케어라고 불리우는 다양한 의료 디바이스들의 보안 위협들이 지속적으로 나타나고 있다.
인슐린 펌프, 맥박조정기, 심장박동기, 이식형 세동 제거기 등 다양한 디바이스 들에서 이미 보안 취약점이 발견되고 있다.
이는, 의료 장비들에서 아직 발견하지 못한 취약점도 있을 수 있으며 언제든지 공격자가 이용할 수 있는 환경에 노출될 수 있다는 얘기다.
이렇듯 의료장비 자체에 대한 보안성 확보가 시급한 상황이지만, 현재의 의료 체계 속에서 보안 담당자가 의료 장비에 대한 보안 수준을 평가하고, 선택에 영향을 미칠 수 있는 단계까지는 시간이 더 필요해 보인다.
의료기기에 대해서는 CE인증이나 FDA 절차, ISO 14971(Medical devices — Application of risk management to medical devices), UL 2900-2-1 등 다양한 표준과 가이드들이 존재하고 있다.
국내에서도 식약처에서 [의료기기의 사이버 보안 허가·심사 가이드라인]을 마련했지만, 보안 요구사항이 가장 기본적인 수준에 머물러 있고 이마저도 법적 효력이 없는 '민원인 안내서'로 발표하여 제조자들이 얼마나 적용할지 실효성에 의문이 드는 상황이다.
의료장비에 대한 선택의 주도권은 의료인에게 있고, 정보보호 담당자는 자료 보호나 인프라 관리에 촛점이 맞춰져 있는 현재 모습에서 장비에 대한 정보보호는 제품 제조자 책임으로만 떠넘기고 있는 상황이다.
제품 제조자는 기존의 정보보호 기준을 준용하거나 해외 사례를 참고해서 자체적인 판단으로 제품을 생산하고 있지만, 아직까지 정보보호에 대한 고민은 체계적이지도 않고 보호 수단의 적용도 미미한 수준이다.
지난 2017년에 미국 식품의약국(FDA)이 심장질환자들에게 이식된 심장박동기 해킹 위험 때문에 해당 업체에 자진 리콜 조치한 사례는, 전자기기 인공 장기를 해킹당해 타인에 의해 신체 기능이 임의적으로 조종될 수도 있다는 상상하기 싫은 미래에 대한 경고의 의미를 담고 있다.
상상하기 싫은 미래를 바꾸기 위해서는, 생산자에게 필요한 정보보호 요구사항을 표준화 하고 적극적으로 활용할 수 있도록 정책적 선도 노력이 필요해 보인다.
또한, 의료기관의 정보보호 담당자들이 의료 장비에 대한 보안 수준을 판단하고 취약점 점검을 수행할 수 있는 법적 근거를 의료법에 포함하는 것도 병행해야 한다.
의료인들의 정보보호 인식을 높이기 위한 노력 필요
가장 중요한 부분이지만, 간과하기 쉬운 부분으로 의료인들에 대한 보안 인식 수준을 높이기 위한 다양한 방법과 투자가 선행되야 한다.
당연하게도 의료인들에게 가장 중요한 책무는 사람의 생명을 보호하기 위한 의료 행위일 수 밖에 없다.
의료에 필요한 장비와 시설들에 대한 정보보호 활동이 자칫 의료 품질에 부정적 영향을 미칠 수 있다는 인식을 준다면 정보보호의 역할은 소극적 대응에 머물 수 밖에 없고, 의료 정보보호 환경을 더디게 진행시켜 장기적으로 경쟁력을 저해할 수 있는 상황이 될 수 있다.
단기간에 인식 수준이 높아질 수는 없겠지만, 의료인들과 지속적으로 소통하고 사회적 요구에 맞춘 의료 정보보호가 될 수 있도록 투자와 교육이 필요한 부분이다.
특히, 의료 분야는 인간의 생명과 직결되는 분야로 장비의 신뢰성 확보와 개인의 프라이버시 보호라는 측면에서 최상위 보안 수준을 수립하고 추진해야 할 사회적 책임이 있다.
이를 통해, 급변하는 의료 IT 환경에서 정보보호 표준과 시스템을 선도하고, 글로벌 최상위 수준의 안전한 의료시스템을 갖추게 된다면 수요자들의 신뢰와 의료 산업 전반에 긍정적인 효과를 가져올 수 있을 것이다.
[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]