대한병원정보협회(회장 한기태. 사진)는 4월 29일 제주대학교병원에서 2016년 춘계학술대회를 ‘의료정보/정보보안 인증 및 표준화 소개’란 주제로 개최했다.
 
이 자리에서 대한병원정보협회 한기태 회장은 “의료 정보보호의 중요성이 커지면서 올해 협회는 정보보호위원회를 구성했다. 아직 의료관련 정보보호 표준이 없다. 올해 협회는 의료기관 정보보호 정책과 규정 그리고 지침을 만들어서 회원들에게 배포할 예정”이라며 “배포된 표준안을 토대로 각 병원에 맞게 수정해서 적용하면 된다. 의료기관 정보보호의 표준적인 가이드가 될 것”이라고 밝혔다.
 
또 한 회장은 “올해 의료기관은 ISMS(개인의료정보보호관리수준) 인증이 의무화되기 때문에 대비를 해야 한다. 이를 위해 협회도 ISMS 인증준비 방안을 마련하고 의료기관 정보보호 자격증을 만들 준비를 해 나가겠다. 올해 자격증 제도가 정착될 수 있도록 하겠다”고 덧붙였다.
 
이어 경우호 협회 정보보호위원장(서울아산병원)은 ‘서울아산병원 ISO 27001 인증사례 소개’를 주제로 발표를 진행했다.
 
경우호 위원장은 “블랙마켓에서 의료정보는 일반 카드 정보보다 10배까지 높은 가격에 거래되고 있다. 젼체 유출 사고 중 50% 가까이 의료업계에서 발생하고 있다”며 “지난 2월 정부에서 발표한 자료에 따르면 종합병원 20곳 조사했더니 75%가 개인정보보호 미흡으로 조사됐고 경찰청과 미래부는 북한의 사이버공격 타깃에 의료기관도 공격 대상에 포함될 것으로 예상하고 있다. 더불어 의료기관도 의무적으로 개인의료정보보호관리수준(ISMS) 인증대상이 되고 있는 만큼 정보보호 강화에 신경을 써야 한다”고 강조했다.
 
이어 ISO27001 인증 필요성과 기대효과를 설명하며 “정보보호 인증은 비용도 많이 들고 불편하지만 정보보호를 위해서라면 인증을 받는 것이 좋다. 인증을 받으면서 보안강화 효과도 크다. 조직의 전체적인 보안인식 수준도 올라가고 전문인력 및 조직 강화에도 큰 도움이 된다”고 필요성과 효과를 강조했다.

또 아이리스인포테크 김현준 이사는 “의료기관 올해 최대 이슈는 ISMS(정보보호관리체계) 인증 의무대상이 된 것이다. 지난해 ISMS 인증심사 주요 결함으로 보안시스템 운영과 정보자산 식별, 취약점 점검, 위험식별 및 평가, 사용자 패스워드 관리, 접근권한 검토, 로그기록 및 보존 등의 순이다. ISMS 인증대상이 된 의료기관은 철저한 준비를 해야 할 상황”이라고 전했다.
 
블루코트 코리아 윤재탁 차장은 “사이버공격은 진화하고 있고 보이지 않는 공격들이 증가하고 있다. 지능적인 위협에 의해 반복적으로 의료정보 유출 사고가 발생하고 있다”며 “의료정보의 전산화로 대량의 개인정보가 디지털 정보로 수집, 보관되기 때문에 환자 개인정보의 대량 유출 가능성이 더욱 높아지고 있다”고 우려했다.
 
또 “신종 위협 대응을 위해서는 인텔리전스 보안체계 구축이 필요하다. 보안프로그램을 최신 버전으로 업데이트 하고 정기적인 백업, 최신 악성코드 및 멀웨어 탐지, 지속적인 보안상황 모니터링과 정책 업데이트 그리고 글로벌 인텔리전스 보안 정책 환경 구축이 필요하다”며 이를 실현하기 위한 자사 차세대 보안 게이트웨이에 대해서도 상세히 설명했다.  

이외에도 최신 보안동향과 방어전략과 복지부 개인정보수준점검 및 개인정보영향평가 사례 소개 등 다양한 발표들이 이어졌다.
 
한편 데일리시큐는 오는 5월 17일 전국 국공립 의료기관, 대학병원, 대중소 병원 개인정보보호 및 정보보호 실무자 300여 명을 초청해 제3회 의료기관 개인정보보호&정보보호 컨퍼런스(MPIS 2016)를 개최한다. 의료정보보호 관련 국내 가장 큰 규모의 컨퍼런스다. 이번 컨퍼런스는 의료기관 실무자만 참석이 가능하다.
-MPIS 2016 사전등록: dailysecu.com/mpis2016/index.html
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com