의료 데이터 보안

의료 데이터 보안은 병원정보시스템을 통해 관리되는 환자의 모든 정보를 안전하게 보호하는 것을 목적으로 한다. 의료 데이터는 단순한 개인 식별 정보를 넘어 질병 이력, 유전 정보 등 건강과 직결된 특수민감정보를 포함한다. 이러한 데이터가 유출되거나 위조될 경우 환자의 생명에 위협이 될 수 있으며, 사회적으로도 막대한 파장을 일으킨다. 따라서 의료기관은 법적 의무 준수와 환자 안전 보장을 위해 고도화된 보안 체계를 구축해야 한다.

대한민국에서 의료 데이터 보안은 여러 법령에 의해 규제된다.

• 의료법: 환자의 진료정보 관리 및 비밀 유지 의무를 규정하며, 전자의무기록의 안전한 관리를 명시한다.
• 개인정보보호법: 건강정보를 민감정보로 분류하여 별도의 동의와 안전조치 의무를 부과한다. 접속기록 관리와 데이터 암호화가 필수적이다.
• 정보통신망법: 해킹 및 악성코드 등 외부 침해사고 예방을 위한 기술적 조치를 요구한다.

의료기관은 이러한 법령에 따라 개인정보 보호지침을 수립하고 정기적인 보안 점검 및 교육을 수행할 의무가 있다.

국가정보원 및 관계 부처의 가이드라인에 따라 의료 데이터 보안은 크게 세 가지 영역으로 구분된다.

관리적 보호조치

보안 정책 수립, 전담 조직 구성, 임직원 보안 교육, 개인정보 취급자의 권한 부여 및 말소 절차 등을 포함한다.

기술적 보호조치

데이터 전송 및 저장 시 암호화, 침입 차단 시스템 구축, 접속기록의 최소 1년 이상 보관, 백신 소프트웨어 설치 및 최신 보안 패치 적용 등이 해당한다.

물리적 보호조치

전산실, 서버실 등 데이터 보관 장소에 대한 출입 통제 장치 마련, 재해·재난 대비 설비 구축, 기록 매체의 안전한 폐기 절차 등을 의미한다.

의료기관을 대상으로 하는 주요 보안 위협은 다음과 같다.

1. 랜섬웨어: 병원 시스템을 암호화하여 진료를 마비시키고 금전을 요구하는 공격이다.
2. 내부자 유출: 권한이 있는 직원이 고의 또는 과실로 환자 정보를 외부로 유출하는 사례이다.
3. 공급망 공격: 의료기기나 소프트웨어 납품 업체의 취약점을 통해 병원 내부망에 침입하는 방식이다.

특히 병원정보시스템(HIS)은 24시간 중단 없이 운영되어야 하므로, 가용성을 확보하기 위한 백업 및 복구 체계 마련이 중요하다.

의료 마이데이터 활성화에 따라 정보주체의 전송요구권 행사를 지원하기 위한 보안 요건이 강화되고 있다. 보건복지부는 2024년 12월 개정된 '보건의료데이터 활용 가이드라인'을 통해 다음과 같은 기준을 제시한다.

• 표준 API 규격: 데이터 전송 시 안전하고 신뢰할 수 있는 방식을 사용하도록 기술 표준을 적용한다.
• 상호운용성 확보: 기관 간 데이터 이동 시 보안성을 유지하면서도 데이터의 의미가 변하지 않도록 용어 및 전송 방식을 표준화한다.
• 인프라 보안: 마이데이터 참여 기관은 전송 절차 가이드라인에 따른 강화된 인프라 보안 요건을 충족해야 한다.