[메디게이트뉴스 조운 기자] 최근 티빙, 쿠팡, 듀오 등 국민 생활과 밀접한 플랫폼·서비스에서 개인정보 유출 사고가 잇따르면서 개인정보 보호에 대한 사회적 경각심이 커지는 가운데 환자의 질병 정보와 진료기록을 보유한 의료기관도 보안 사각지대에서 자유롭지 않다는 지적이 나온다. 

실제로 전자의무기록(EMR)에는 환자의 질병 정보, 진료기록, 처방·검사결과, 보험 청구 정보 등이 축적돼 있어 유출 시 개인정보 침해를 넘어 진료 연속성과 환자 안전에도 영향을 줄 수 있다. 의료데이터 활용과 디지털헬스케어 정책이 확대되는 상황에서, 의료기관의 정보보안 체계를 더 엄격하게 점검해야 한다는 지적이 나오는 이유다.

이런 가운데 국내 의료기관의 EMR 정보보안 수준은 종별에 따라 큰 격차를 보이는 것으로 나타났다. 건강보험심사평가원 신범선, 국립암센터 유현지, 가천대학교 서화정 연구팀이 HIRA Research에 게재한 ‘의료기관 종별 전자의무기록 정보보안 실태와 보안 관리 인식 제고의 차이’ 논문에 따르면, 종합병원은 상급종합병원에 비해 정보보안 전담인력과 보안장비, 사고예방 대응체계가 부족한 것으로 확인됐다.

연구팀은 보건복지부가 2023년 11월부터 2024년 1월까지 실시한 ‘의료기관 정보보안 현황조사’ 자료를 분석했다. 조사 대상 219개 의료기관 중 158개 기관이 응답했으며, 이 중 병원급 3곳을 제외한 상급종합병원 37곳과 종합병원 118곳 등 총 155개 기관이 최종 분석 대상에 포함됐다.

종합병원 73.7% 정보보안 전담인력 없어…상급종합병원과 격차 뚜렷

분석 결과, 정보보안 전담인력 보유 여부에서 상급종합병원과 종합병원 간 격차가 뚜렷했다.

상급종합병원은 37곳 중 33곳(89.2%)이 정보보안 전담인력을 두고 있었지만, 종합병원은 118곳 중 31곳(26.3%)에 그쳤다. 반대로 종합병원 87곳(73.7%)은 정보보안 전담인력이 없었다.

병원 내 상주 보안인력 역시 상급종합병원은 19.4%가 보유한 반면, 종합병원은 5.1%에 불과했다. 연구팀은 “상급종합병원에서는 전담인력과 서버·네트워크 등 보안장비, 사고예방 대응체계가 잘 갖춰진 반면, 종합병원은 보안 업무를 전담하는 인력자원이 부족하고 백업·복구 등 기술적·관리적 대응체계가 미비한 상황”이라고 분석했다.

보안장비에서도 격차가 확인됐다. 보안장비 수가 5대 이하인 기관은 종합병원에서 62.7%였지만, 상급종합병원에서는 없었다. 네트워크 장비 수 역시 5대 이하인 기관이 종합병원은 61.0%였지만, 상급종합병원은 2.7%에 그쳤다.

업무용 PC 500대 이하 기관은 종합병원에서 51.3%였고, 상급종합병원은 0%였다. 연구팀은 기관 규모 차이를 고려하더라도 보안 자원과 장비가 상급종합병원에 집중돼 있고, 종합병원은 최소 수준에 머물러 있다고 평가했다.

종합병원 71.3% EMR 인터넷 연결…침해사고 취약요소 우려

EMR 운영 환경에서도 보안 취약성이 드러났다. 병원 내 EMR 운영 시 인터넷 연결 여부를 조사한 결과, 종합병원은 71.3%가 인터넷에 연결돼 있다고 응답했다. 반면 상급종합병원은 41.2%였다.

EMR은 환자의 진료기록과 검사결과, 처방정보 등 민감한 의료정보가 축적되는 핵심 시스템이다. 연구팀은 EMR 침해사고 대부분이 인터넷 환경을 통해 발생한다는 점에서 네트워크 분리와 접근통제가 필수적이라고 지적했다.

연구팀은 “병원 내 EMR 운영 시 인터넷을 연결하지 않는 상급종합병원은 58.8%인 반면, 종합병원은 28.7%에 그쳤다”며 “종합병원은 EMR의 인터넷 연결에 따른 보안 설정 적용 비율이 낮아 사이버 공격의 주요 취약 요소가 되고 있다”고 밝혔다.

사고예방 대응체계도 종합병원이 상대적으로 취약했다. 침입방지시스템(IPS)을 갖춘 기관은 상급종합병원 94.6%, 종합병원 57.6%였다. 웹방화벽 보유율은 상급종합병원 91.9%, 종합병원 38.1%였고, 메일보안 체계는 상급종합병원 75.7%, 종합병원 33.1%였다.

“의료정보 침해는 병원 운영·환자 생명에도 영향”

연구팀은 의료기관 정보보안 문제가 단순히 개인정보 유출에 그치지 않는다고 강조했다. EMR, OCS, PACS 등 의료정보시스템이 진료 전 과정에 연결돼 있는 만큼, 침해사고가 발생하면 진료 제한과 병원 운영 차질로 이어질 수 있고, 환자 안전에도 직접적인 영향을 줄 수 있다는 것이다.

연구팀은 “EMR의 침해사고 대부분은 인터넷 환경을 통해 발생하므로 네트워크 분리와 접근통제는 필수적”이라며 “침해사고 발생 시 진료 제한으로 인한 비용 손실은 물론 병원 운영과 환자의 생명에 직접적인 영향을 끼치게 된다”고 설명했다.

최근 의료기관을 겨냥한 사이버 공격과 개인정보 유출 이슈가 이어지는 상황에서, 의료데이터 활용 정책 역시 보안 인프라를 전제로 설계돼야 한다는 지적도 나온다. 의료기관이 보유한 진료정보는 민감정보 중에서도 보호 필요성이 높은 정보인 만큼, 데이터 활용 확대와 정보보호 체계 강화가 함께 추진돼야 한다는 의미다.

“종합병원 최소 보안기준 제도화하고 재정·기술 지원 연계해야”

이에 연구팀은 의료기관 종별 격차를 고려한 정보보안 기준과 지원체계가 필요하다고 제언했다.

우선 EMR 정보보호를 위한 최소 필수 인력과 장비, 백업·복구, 사고예방 대응체계 등 정보보호 활동 기준을 의료기관 규모별로 명확히 규정하는 가이드라인 또는 인증·평가제도가 필요하다고 했다.

특히 종합병원에 대해서는 보안 담당자 지정, 정기 백업, 기본 보안 솔루션 도입, 연 1회 이상 보안 교육, 접속기록 의무화 등 현실적인 최소 기준을 제도화하고 이를 이행할 수 있도록 재정·기술적 지원을 연계해야 한다고 제안했다.

중앙집중식 보안관제 역시 의료기관이 실제 필요로 하는 기능 중심으로 재설계해야 한다고 했다. 관제 비용 지원, 공동 보안관제, 위협정보 공유, 침해사고 대응 매뉴얼 제공, 표준 로그·백업 정책 제시, 교육 콘텐츠 보급 등이 필요하다는 것이다.

연구팀은 “보안 활동 수준이 낮은 기관에는 기초적인 점검·컨설팅과 온라인 교육 프로그램을 우선 제공하고, 보안 역량이 높은 기관과는 고급 위협정보 공유, 침해사고 모의훈련 등 고도화된 협력 모델을 구축해야 한다”고 밝혔다.

이어 “EMR의 안전성·신뢰성 확보를 의료기관 내부 이슈로만 한정하지 않고 국가 보건의료 데이터 거버넌스의 핵심 의제로 명시해야 한다”며 “국가 차원의 지원 대책이 필요하다”고 강조했다.