산하 5개 병원 홈페이지 및 내부 시스템, 개인정보보호법에 맞춰

가톨릭중앙의료원은 올해 3월 개인정보보호법이 통과되면서부터 우선적으로 정보보안 투자에 나서고 있다. 현재 가톨릭중앙의료원을 포함해 서울성모, 여의도성모, 의정부성모, 부천성모, 성빈센트 등 산하 5개 병원이 함께 40억 원 정도의 대규모 예산을 투입해 '개인정보보호법에 준하는 정보보안 구축' 사업을 추진 중이다. 개인정보보호에 초점이 맞춰져 대대적인 투자가 이뤄지는 것은 이번이 처음이며, 의료 분야에서도 흔치 않은 일이다.

이번 정보보안 구축 사업은 크게 홈페이지 보안과 내부 업무시스템 보안으로 크게 나뉘어 진행되고 있다. 먼저, 홈페이지 보안은 홈페이지를 통한 서비스와 이용자가 점차 증가할 것에 대비한 것으로 실명인증 시스템을 구축해 홈페이지에 접근하는 사람들이 누구인지 정확히 인증을 받게 된다.

내부 업무시스템 보안은 DB보안(암호화, 접근통제 및 로그감사)을 필두로 하여 시스템 접근제어, 보안(DRM) 문서의 화면캡처 방지와 화면의 마스킹처리 강화, 통신구간의 SSL 암호화 및 인증 적용 등을 추진한다. DB, 메일시스템, 문서는 암호화 처리를 하여 자료가 외부로 유출되어도 활용되지 못하게 하고, 기본적으로 정상적인 통로가 아니면 접근이 어렵게 하되, 만약 접근권한이 있는 이용자가 유출을 하더라도 추적이 가능한 시스템을 갖추겠다는 목표다.
·
가톨릭중앙의료원 정보운영팀 차선환 과장은 "기존에도 사번을 기준으로 메뉴/ 권한/ 직무별 접근통제가 이뤄져왔고, 일부 업무와 출력물 주요 정보에 대한 마스킹 처리를 통해 내부 정보유출을 방지해왔다"면서 "이번 프로젝트를 통해 보안이 적용되는 업무 범위가 더 확대되어 보안이 한층 강화된다. 시스템적으로 기존대비 40~50% 이상은 보안이 개선될 것으로 기대한다"고 말했다.

실명인증 관리로 책임 부여 및 사후 추적성 보장
병원은 업무 특성상 정보의 접근권한 관리가 쉽지 않다. 담당 의사 외에 검사를 수행하는 의사도 환자에 대한 소견과 정의를 판정해줘야 하므로 무작정 정보 접근을 막을 수만도 없는 것이다. 이 같은 어려움 때문에 기존에는 의사와 간호사로 구분해 업무 메뉴를 중심으로 한 포괄적인 접근권한 관리가 이뤄졌다.

또한 사용자들은 시스템 접근에 대한 ID를 공동으로도 사용해왔던 게 사실이다. 이번 사업의 가장 큰 특징 중 하나는 접근통제를 실명으로 투명하게 관리함으로써 작업 로그기록을 남겨 책임을 부여하고 사후 추적성을 보장하는데 있다. 마찬가지로 출력물에 대해서도 실명인증을 통해 누가, 언제 출력했는지 문서에도 찍히게 하고 로그를 남겨 철저히 관리할 예정이다.

가톨릭중앙의료원은 이번 정보보안 사업을 위해 지난 4월말부터 전략적으로 준비를 해왔다. 2008년 가톨릭중앙의료원 산하 5개 병원들의 종합의료정보시스템(nU: neuro-Ubiquitous)구축 후 수시로 정보를 주고 받아야하는 상황에서 정보의 효과적인 활용과 안전한 관리를 위해 정보의 오남용 방지에 대한 필요성을 크게 느꼈기 때문이다. 뿐만 아니라, 개인정보보호법에 준하는 기술적· 관리적 보호조치 의무를 다함으로써 사회적 책임에 일조한다는 방침이다.

본 사업은 단계별로 12월 말까지 진행되며, 내년에는 후속사업으로 개인정보가 포함된 파일이 전송될 때 암호화시키는 네트워크 DLP 등 PC보안 사업에 주력할 예정이며 전사보안관제시스템(ESM) 구축 등을 계획하고 있다.

가톨릭중앙의료원 정보운영팀 백락준 대리는 "교수들이 환자의 정보를 물어볼 때 조심스러워하고 병원의 행정부원장이 모든 USB를 없애 버리라고 할 정도로 보안에 대한 의지가 무척 강하다"며 "개인정보보호법에 대응하기 위한 규정과 지침은 개발이 끝나 현장에 배포됐고 교육도 실시했다. 서울성모병원의 경우 800여명의 의사들과 일반직원들 모두가 교육을 받아 직원들 스스로 정보보호에 대한 책임의식이 높아졌다. 앞으로 서면/방문 점검을 통해 1년에 2회 지속적인 보안 관리를 해나갈 계획"이라고 전했다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지