 |
이번 키워드는 2025년 12월8일부터 12월31일까지 협회 회원을 대상으로 진행된 공모와 학술분과 및 협회 임원진 검토를 거쳐 확정됐다. 키워드는 2026년 의료기관 보안 정책 수립과 운영 방향을 제시하는 기준으로 활용될 전망이다.
의료 AI 보안 거버넌스
의료 현장에서 인공지능(AI) 활용이 진단 보조, 치료 계획 수립, 의료 영상 분석, 행정·운영 자동화 등으로 확산되고 있다. 이에 따라 의료기관은 AI를 통해 의료 품질과 효율성을 높이고 있지만 기존 정보시스템과는 다른 새로운 보안 위협과 책임 문제에 직면하고 있다.
AI는 학습 데이터와 알고리즘에 기반해 작동하기 때문에 데이터 포이즈닝, 프롬프트 인젝션과 같은 공격에 취약할 수 있다. AI 판단 오류로 이어져 환자 안전에 영향을 미칠 수 있다는 의미다. 특히 AI 생성 결과가 실제 진료 의사결정에 활용되는 의료 환경에서는 출력물 신뢰성과 관리 체계가 중요해지고 있다.
최근에는 의료기관 승인 없이 외부 생성형 AI 서비스를 사용하는 '섀도우 AI' 문제가 확산되며 개인정보 유출과 법·제도 위반에 대한 우려도 커지고 있다. 의료 AI 보안 거버넌스는 이러한 위험을 체계적으로 관리하기 위한 개념으로 AI 도입 전·후 전 과정에서 위험 평가와 보안 통제, 책임 체계 정립을 포함한다.
개인정보 과징금 및 책임 강화
대형 개인정보 유출 사고가 잇따르면서 개인정보 보호에 대한 사회적 요구와 법적 책임이 강화되고 있다. 최근에는 개인정보 보호 위반에 대한 과징금 부과 기준이 상향되고, 위반 행위 중대성과 관리 소홀 여부에 따라 과징금 규모가 결정되는 방향으로 제도가 강화되고 있다. 이에 따라 개인정보 유출은 단순한 보안 사고를 넘어, 기관 운영과 경영 전반에 영향을 미치는 중대한 위협으로 인식되고 있다.
의료기관 역시 개인정보 유출 사고 발생 시 과징금, 행정처분, 민·형사상 책임은 물론, 환자 신뢰 하락과 기관 이미지 손상 등 복합적인 피해에 직면하게 된다. 특히 의료기관이 처리하는 정보는 진료 기록, 건강 상태, 유전자 정보 등 고도의 민감정보를 포함하고 있어 일반 개인정보 유출보다 영향과 책임 범위가 크다. 이로 인해 의료기관에 요구되는 개인정보 보호 수준과 관리 책임 역시 엄격해지고 있다.
개인정보 과징금 및 책임 강화는 최고경영진 책임 인식, 내부 통제 체계 구축, 접근 권한 관리, 사고 대응 절차 마련 등 조직 전반 관리 체계 강화를 요구하는 핵심 이슈로 자리 잡고 있다. 의료기관은 강화된 과징금 제도와 사회적 책임 요구에 대응하기 위해 개인정보 보호를 핵심 경영 요소로 인식하고 지속적인 관리와 개선 노력을 이어가야 할 것으로 보인다.
IoMT 및 의료기기 사이버 보안
의료 사물인터넷(IoMT)과 다양한 의료기기 네트워크 연결이 확대되면서 사이버 공격에 노출되는 범위도 함께 증가하고 있다. 환자 모니터링 장비, 영상 진단 장비, 치료 보조 기기 등 다수 의료기기가 병원 네트워크에 연결되며 이들 장비는 의료 서비스 제공에 필수 요소로 자리 잡고 있다. 그러나 이러한 기기들은 일반 IT 시스템에 비해 보안 설계가 충분히 반영되지 않은 경우가 많아 새로운 보안 위협 대상이 되고 있다.
특히 구형 운영체제(EOS) 기반 의료기기나 제조사 의존도가 높은 장비는 보안 패치 적용이 어렵고, 장기간 동일한 환경으로 운영되는 경우가 많아 주요 취약 요소로 지적되고 있다. 이러한 기기가 사이버 공격에 노출될 경우 단순한 정보 유출을 넘어 의료 서비스 중단이나 장비 오작동 등 환자 안전에 영향을 미칠 수 있다. 최근에는 IoMT 기기를 발판으로 내부 네트워크로 침투하는 공격 사례도 보고되며, 의료기기 보안에 대한 중요성이 부각되고 있다.
IoMT 및 의료기기 사이버 보안은 기술적 관리 차원을 넘어 환자 안전과 직결되는 과제로 인식되고 있다. 의료기관과 제조사 간 보안 책임 범위가 명확하지 않은 현실에서 자산 식별, 네트워크 분리, 접근 통제, 지속적인 모니터링을 포함한 관리가 요구되고 있다. 이를 통해 의료기관은 안전한 진료 환경을 유지하고 의료 서비스 신뢰성을 확보할 수 있을 것이다.
AI 기반 보안 운영 자동화 (AIOps·SOAR)
보안 위협이 고도화되고 공격 빈도가 증가하면서 기존 인력 중심 보안 운영 방식은 점차 한계에 직면하고 있다. 의료기관 역시 제한된 보안 인력으로 24시간 관제와 신속한 대응을 유지하는 데 어려움을 겪고 있다. 이에 따라 보안 운영 자동화와 효율화에 대한 요구가 커지고 있다. 이러한 환경 속에서 AI 기반 보안 운영 자동화(AIOps·SOAR)가 새로운 대안으로 주목받고 있다.
AIOps는 인공지능과 머신러닝을 활용해 대량 보안 로그와 이벤트를 분석하고 이상 징후를 자동으로 식별하는 기술이다. 이를 통해 기존에는 사람이 분석해야 했던 방대한 보안 데이터를 신속하고 정확하게 처리할 수 있다. SOAR는 탐지된 위협에 대해 사전에 정의된 시나리오에 따라 대응과 조치를 자동화해, 사고 대응 시간을 단축하고 대응 일관성을 확보하는 역할을 한다.
AI를 활용한 보안 운영 자동화는 위협 탐지부터 분석, 대응까지 전 과정을 유기적으로 연결해 의료기관 보안 대응 속도와 효율성을 향상시킬 것으로 기대된다.
의료 공급망 공격 대응
EMR 업체, 의료 서비스형소프트웨어(SaaS), 원격 유지보수 업체, 의료기기 제조사 등 의료 환경을 구성하는 공급망이 복잡해지면서 공급망 공격에 대한 우려도 커지고 있다. 의료기관은 다양한 외부 업체와 시스템을 연계해 운영하고 있고 이들 중 한 곳에서 발생한 보안 사고가 병원 전체 시스템으로 확산될 가능성이 높아지고 있다. 특히 외부 유지보수 계정이나 원격 접속 경로는 공격자가 내부 네트워크로 침투하는 주요 통로로 악용될 수 있다.
최근에는 의료기관 자체 보안 수준과 무관하게 협력사 보안 취약점이 사고 원인이 되는 사례가 증가하고 있다. 의료기기 소프트웨어, 의료 AI 솔루션, 오픈소스 구성요소 등 공급망 전반에 걸친 보안 가시성 확보가 중요해지면서 단일 시스템 중심 보안 관리 방식에는 한계가 드러나고 있다. 이러한 환경에서는 공급망 전반을 고려한 체계적인 위험 관리가 필수적이다.
의료 공급망 공격 대응은 계약 체결 단계에서 보안성 평가부터 운영 중 지속적인 점검과 계정 관리까지 포괄하는 관리 체계를 요구한다. 의료기관은 협력사에 대한 보안 기준을 명확히 하고 정기적인 점검과 모니터링을 통해 공급망 리스크를 관리해 의료 서비스 안정성과 신뢰성을 확보해야 할 것이다.
ISMS-P 중심 의료 보안 규제 대응
의료기관을 대상으로 한 ISMS-P 인증 요구와 개인정보 보호 관련 규제가 강화되고 있다. 특히 대형 개인정보 유출 사고 이후 의료기관 정보보호 관리체계에 대한 사회적 요구가 높아지면서 인증 제도 실효성과 관리 책임에 대한 관심이 커지고 있다. 이에 따라 단순히 인증을 획득하는 것을 넘어, 실제 보안 수준을 높이는 방향으로 제도 운영과 이행이 중요하게 강조되고 있다.
최근에는 의료기관 특성과 취급 정보 민감성을 고려해 ISMS-P 인증을 체계적으로 적용하거나 의무화하는 방안에 대한 검토와 논의도 이어지고 있다. 의료기관은 대규모 민감정보를 상시적으로 처리하는 조직으로서 일반 기업보다 강화된 보호조치와 관리 체계가 요구된다는 인식이 확산되고 있다. 이러한 흐름 속에서 ISMS-P는 단순한 규제 대응 수단이 아니라, 의료기관 보안 수준을 객관적으로 검증하고 개선하기 위한 기준으로 주목받고 있다.
ISMS-P 중심 의료 보안 규제 대응은 법적 요구사항을 충족하는 동시에 조직 전반 보안 거버넌스를 강화하는 계기로 작용하고 있다. 의료기관은 관리적·기술적·물리적 보호조치를 실질적으로 이행하고 점검과 개선 활동을 통해 보안 역량을 강화해 규제 환경에 선제 대응해야 할 것으로 보인다.
제로트러스트 기반 접근통제
클라우드 서비스 도입, 원격 근무 환경 확대, IoMT 확산으로 의료기관 IT 환경이 변화하고 있다. 이에 따라 기존 경계 기반 보안 모델에 대한 한계가 명확해지고 있다. 폐쇄망이나 내부망이라는 이유만으로 신뢰하던 접근 방식은 더 이상 충분하지 않고 내부 계정 탈취나 권한 오남용과 같은 위협도 주목받고 있다. 이러한 변화 속에서 모든 사용자와 기기를 지속적으로 검증하는 제로트러스트 기반 접근통제가 대안으로 주목받고 있다.
제로트러스트는 네트워크 위치나 소속에 관계없이 모든 접근을 잠재적 위협으로 간주하고 사용자·디바이스·접근 행위에 대해 반복적인 인증과 검증을 수행하는 보안 모델이다. 의료기관에서는 의료진, 외주 인력, 의료기기, 시스템 계정 등 다양한 주체가 동시에 시스템에 접근하기 때문에 최소 권한 원칙과 세분화된 접근 통제를 구현하는 것이 중요하다.
클라우드 데이터 보안 및 책임 모델
의료기관 클라우드 도입이 가속화되면서 데이터 보안과 책임 범위에 대한 명확한 이해가 중요해지고 있다. EMR, 의료영상, 연구 데이터 등 민감한 의료정보가 클라우드 환경에서 처리·저장되는 사례가 증가하면서 데이터 보호에 대한 요구도 함께 높아지고 있다. 이러한 환경에서는 기존 온프레미스 중심 보안 접근 방식만으로는 대응이 어려워지고 있다.
클라우드 환경에서는 서비스 제공자와 이용자 간 책임 분담, 이른바 공유책임모델이 핵심 이슈로 작용한다. 인프라 보안은 클라우드 사업자가 담당하더라도 데이터 접근 통제, 암호화, 계정 관리, 로그 모니터링 등은 의료기관 책임으로 남는 경우가 많다. 책임 범위에 대한 이해 부족은 보안 공백으로 이어질 수 있고 규제 위반이나 사고 발생 시 책임 소재가 불분명해질 위험도 존재한다.
클라우드 데이터 보안 및 책임 모델은 데이터 생성부터 저장, 이용, 전송, 폐기까지 전 주기에 걸친 보호 체계를 요구한다. 의료기관은 클라우드 환경에 맞는 보안 정책과 운영 기준을 수립하고 하이브리드·멀티 클라우드 환경에서도 일관된 보안 수준을 유지함으로써 데이터 보호와 규제 준수를 동시에 달성해야 할 것이다.
랜섬웨어 대응을 위한 데이터 복원력
의료기관을 대상으로 한 랜섬웨어 공격이 증가하면서 백업을 넘어선 데이터 복원력(Data Resilience) 중요성이 강조되고 있다. 최근 랜섬웨어 공격은 데이터 암호화에 그치지 않고 유출 협박과 백업 시스템 파괴를 동반하는 이중 갈취 방식으로 고도화되고 있다. 이러한 공격은 의료 서비스 중단과 환자 안전 위협으로 직결될 수 있다.
데이터 복원력은 사고 발생 시 데이터를 얼마나 빠르고 정확하게 복구할 수 있는지를 의미한다. 무결성이 검증된 백업 체계, 격리된 저장 환경, 복구 목표 시간(RTO) 단축 등은 의료기관이 랜섬웨어 사고 이후에도 진료를 지속할 수 있도록 하는 핵심 요소로 평가받고 있다. 특히 EMR, PACS 등 핵심 진료 시스템의 신속한 복구는 의료기관 운영 안정성과 직결된다.
랜섬웨어 대응을 위한 데이터 복원력은 예방 중심 보안과 함께 의료기관 안정적인 운영을 뒷받침하는 필수 전략으로 자리 잡고 있다. 의료기관은 기술적 대비뿐만 아니라 사고 대응 절차와 복구 시나리오를 점검해 사이버 위협 환경 속에서도 진료 연속성과 환자 신뢰를 유지해야 할 것이다.
프라이버시 강화 기술(PETs)과 최소화 문화
의료 데이터 활용 범위가 진료 지원, 연구, 인공지능 학습 등으로 확대되면서 개인정보 보호와 데이터 활용 간 균형이 과제로 부상하고 있다. 의료 데이터는 그 자체로 민감정보 성격을 지니고 있어 활용 과정에서 작은 관리 소홀도 심각한 침해로 이어질 수 있다. 이러한 환경에서 PETs와 데이터 최소화 원칙은 개인정보 보호를 강화하면서도 데이터 활용을 가능하게 하는 해법으로 주목받고 있다.
프라이버시 강화 기술은 가명·익명 처리, 마스킹, 연합학습, 차등 프라이버시 등 기술을 통해 개인정보 노출을 최소화하면서 데이터 활용 가치를 유지하는 접근 방식이다. 특히 의료 현장에서는 진료 기록 공유나 연구 협업 과정에서 필요한 정보만을 제한적으로 제공해 불필요한 개인정보 노출을 줄이는 것이 중요해지고 있다.
프라이버시 보호는 기술적 조치에만 의존해서는 충분하지 않다. 의료기관이 개인정보를 꼭 필요한 범위 내에서만 수집·이용·전송하는 문화를 정착시킬 때 환자 신뢰를 높이고 강화되는 개인정보 보호 규제에도 효과적으로 대응할 수 있을 것이다.
황연수 대한병원정보보안협회 학술분과장(분당서울대학교병원 CISO)은 "앞으로도 현장 경험과 전문성을 바탕으로 의료기관이 실제로 참고할 수 있는 보안 방향을 제시할 것"이라며 "의료 정보보안 분야에서 실질적인 가이드 역할을 수행하겠다"고 말했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.