“병원, 정보보호 자료는 ‘다다익선’…정확한 공지로 추가 피해 막야야”

병원에서 개인정보 유출이 발생했을 때를 대비한 프로세스를 사전에 마련해야 한다는 의견이 제시됐다. 혹여 사고가 발생했을 경우 증빙자료를 최대한 많이 마련하는 주문도 나왔다. 특히 단순히 사고 대응 자체에 치중하기 보다는 추가 피해를 막기 위해 숨기지 않고 상황을 알리는 노력이 필요하다는 조언이다.

29일 서울 삼성동 코엑스에서 ‘2022년 대한병원정보협회 추계학술대회’가 개최됐다. 대한병원정보협회가 주최하는 행사는 병원 전반의 정보보안 관련 사항을 공유하고 보호 체계 구축방안을 논의하는 자리다.

‘개인정보사고 대응전략 실전편’ 발표에 나선 박선영 부천성모병원 팀장은 “정확한 공지로 추가 피해를 막는 것이 개인정보 사고 대응의 핵심”이라고 강조했다. 박 팀장에 따르면, 병원은 민감한 개인 정보가 많아 해커들이 주로 노리는 분야지만 보안 체계는 위협 수준을 따라가지 못하고 있다.

그는 “개인정보 침해 사고 중 의료는 제조 분야에 이어 두 번째로 보안 사고가 많이 발생하는 업종”이라며 “사이버 공격자들이 노릴만한 상징성과 파급도가 높다”고 말했다. 하지만 이 같은 공격 위협과 반대로 병원의 정보보호담당자들은 대부분 겸직 형태로 일하고 있어 민감성에 비해 보호 체계가 부족하다는 게 박 팀장의 지적이다.

그는 사전에 정보 관리계획을 수립하고 대응 준비 전략을 세워야 한다고 짚었다. 사후에는 원인파악과 함께 경위를 정확히 보호하는 등 후속조치가 필요하다고 했다. 박 팀장은 “정보유출 사고가 이미 발생한 뒤에는 시간이 부족하고 조치가 누락되거나 지연될 수 있다”며 “미리 대응매뉴얼과 신속 대응팀 등을 만들어두어야 한다”고 말했다.

여기서 중요한 것이 유출 통지문과 통지 방법을 미리 준비해 놓는 것이다. 정확한 사고 경위를 제때 적확한 방법으로 알려야 추가 피해를 막을 수 있다는 게 박 팀장의 말이다.

증빙자료의 중요성도 강조했다. 그는 “증빙자료는 정보보호 노력의 결과라 많으면 많을수록 좋다. 다다익선이다”라고 말했다. 정보유출이 일어나면 이에 대한 책임은 기관이 져야 한다. 이에 보호 노력을 기울였다는 증거를 모두 수집해 놓고 원인 파악과 후속조치에 활용하라는 주문이다.

기안문서, 홈페이지를 통한 정보유출 관련 공지문 캡처, 접속기록 등의 로그 파일 등을 많이 마련해둘수록 좋다. 특히 박 팀장은 유출 관련 공지문의 경우 빠르게 알릴수록 유출 피해자가 대응할 수 있기 때문에 최대한 빨리 공지를 내는 노력도 당부했다. 그는 또 “대부분 시스템 접속기록은 SQL로만 보관되지만 해당 SQL 조건문은 시간이 흘러 바뀌는 경우가 있다”며 “데이터베이스에서 해당 시점 상황을 백업해둬야 한다”고 말했다.

이날 행사에서는 정보보호 공시 대상 병원들의 관련 투자 추이도 공개됐다. 경희의료원이 2021년 정보를 기준으로 공시된 상급 종합병원 자료를 집계한 결과다.

병상 하나를 기준으로 정보기술부문 투자액이 가장 높은 곳은 삼성서울병원이었다. 이어 ▲강북삼성병원 ▲분당서울대병원 ▲가톨릭대서울성모병원 ▲서울아산병원이 뒤를 이었다.

김형식 경희의료원 정보보호파트장은 “서울과 수도권 병원이 (지방보다) 비교적 정보기술 투자가 많은 것을 확인할 수 있었다”고 설명했다. 김 파트장은 단 해당 자료는 컴퓨터를 비롯한 전산장비와 보안 솔루션 비용, 관련 인력 인건비 등을 모두 합친 수치라 실제 보안수준을 담보하는 것은 아니라고 부연했다.

학술대회는 오는 30일까지 이어진다. 박종환 병원정보보안협회장(삼성서울병원 정보보호담당)은 인사말을 통해 “병원의 개인정보 보호는 어려운 문제”라며 “전반적인 상황을 공유하고 대응 방안을 마련하기 위한 의미있는 세미나가 되기를 바란다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network