[보안공시 해부] 황연수 분당서울대병원 CISO 인터뷰
 |
그러나 의료기관을 향한 보안 위협이 고도화되고 있다는 점은 우려스러운 대목이다. 단 한 번의 보안 사고로 의료 시스템이 마비된다면, 그 여파 또한 걷잡을 수 없이 커지기 때문이다. 의료기관이 환자의 기밀정보를 다룬다는 점 또한 2차 피해를 배제할 수 없는 이유 중 하나다.
다만 의료기관 또한 보안 사고가 난 이후 조치를 취하는 '사후약방문식' 대응에 초점을 두고 있어, 전반적인 인식 제고가 필요한 시점이다. 매해 정보보호 투자 내역을 자율 공시하는 병원도 쉽게 찾아볼 수 없는 실정이다. <디지털데일리>는 2022년부터 4년 연속 정보보호 자율공시를 이행한 분당서울대병원의 황연수 정보보호최고책임자(CISO·정보보호팀장)를 만나, 국내 의료 분야의 현주소를 들어봤다.
◆ 의료시스템 판도 바뀐다…"위협 있다면 대형사고 준할 것"
황 CISO는 국내 의료기관이 정보보호 분야에서 마주한 가장 큰 어려움으로 '시스템 복잡성'을 꼽았다. 그는 "의료의 경우 굉장히 다양한 시스템들이 있다"며 "각종 검사 장비들도 하나하나의 시스템인데, 이들은 복잡하고 유기적으로 얽혀있고 복잡도는 점점 더 높아지는 추세"라고 진단했다.
특히 인공지능(AI)과 같이 차세대 기술을 접목한 의료 시스템이 늘어나면서 복잡도가 높아지고 있다고 강조했다. 황 CISO는 "의료의 경우 AI 예측 모델링을 비롯해 다른 산업보다 더 빠르게 데이터를 활용할 수 있는 방법을 모색하고 있다"며 "그만큼 최신 IT 트렌드를 적용하기에 적합한 분야라는 뜻인데, 보안 위협이 발생할 구간 또한 그만큼 다양해지고 있다"고 말했다.
폐쇄적이었던 의료 환경이 변화를 맞이한 점도 주요 변화 중 하나로 거론했다. 황 CISO는 "예전에는 폐쇄적인 환경에서 병원 원내에서만 접속이 가능하도록 경로를 한정했다면, 이제는 스마트폰 및 모바일 등 외부에서 의료 정보에 접근하려는 요구가 커지고 있다"고 말했다.
이어 "이러한 분위기 속, 보호해야 할 정보는 기밀을 요한다는 점 또한 고려해야 할 중요한 과제"라며 "지금까지 (의료 분야에서) 큰 보안 사고가 나지는 않았지만, 만약 발생한다면 대형 사고에 준하는 파급력을 보일 것"이라고 전망했다. 그러면서 "최근 주목을 받은 SK텔레콤과 같은 사고가, 남의 일이 아니라는 의미"라고 꼬집었다.
그러나 국내 기관의 의료시스템 대부분은 추적 관리에서부터 관리 한계를 겪고 있다. 황 CISO는 "보안 사고가 발생했을 때 이를 규명할 수 있는 로그 등을 관리해야 하는데, 대부분 시스템이 잘 돼 있지 않다"며 "로그인·로그아웃 정도는 잘 나와있지만 어떤 정보 주체(환자 정보)를 가지고 어떤 행위를 했다 등의 내용은 추적이 어려운 실정"이라고 설명했다.
의료 분야를 겨냥한 보안 위협이 고도화되고 있다는 일부 분석과 대비되는 행보다. 황 CISO는 "병원 내에 아무리 우수한 인재를 채용했다고 하더라도, 이곳은 운영을 하는 곳이기 때문에 (보안 등) 기술적으로 성장하는 데 한계가 있다"며 "구조적으로 외부 위협에 대해 취약해질 수밖에 없는 이유"라고 부연했다.
◆ 의료보안 인식은 '느림보'…"기관별 보안 기준 있어야"
그러나 의료 분야의 보안 인식은 여전히 저조한 수준이다. 정부가 올 초 공개한 '2024 사이버보안 인력 수급 실태조사'에 따르면, 의료 분야 중 보안 전담 인력을 보유한 기관은 10곳 중 3곳에 불과했다. 정보보호 공시 또한, 공시 의무가 있는 상급종합병원을 제외하고 자율 공시를 이행한 기관은 분당서울대병원을 포함해 4곳에 그쳤다.
황 CISO는 "대부분의 조직은 효율성과 생산성을 높이는 작업을 한다면, 반대로 정보보호 조직은 하면 할수록 불편해지고 생산성이 떨어지는 작업을 해야 한다는 딜레마에 있다"며 "보안에 대한 투자를 이끌어내기가 어려운 이유"라고 말했다. '완벽한 보안'이 없는 만큼 지속적인 투자와 관심이 필요한데, 많은 조직이 이에 대한 중요성을 인지하는 데 어려움을 느끼고 있다는 취지다.
분당서울대병원은 정보보호인증부터 IT 및 보안 투자에 성과를 올리고 있는 기관이다. 대표적으로 정보보호관리체계(ISMS) 인증, ISO 27001·27799·27701 인증 등을 확보했고 사이버보안 진단의 날을 시행하는 등 인식 개선에도 속도를 올리고 있다. 자체 정보보호 관리 방법론 모델도 구축해, 관련 인증을 상시 관리하는 체계도 구축해 운영 중이다.
황 CISO는 의료 분야에서 보안 인식을 제고하고 투자가 활성화되기 위해서는 기관 규모별 기준을 세우는 것이 중요하다고 제언했다. 그는 "정보보호 투자에 대한 혜택(인센티브)도 중요하겠지만, 동시에 산업 안전 관점에서 (의료기관 규모) 500명당 1명씩 정보보호 인력을 지정하거나, 상급종합병원의 경우 병상당 보안 인력 규모를 정하는 기준이 필요하다"고 강조했다.
황 CISO는 "병원은 IT 환경뿐만 아니라, 물리적인 통제도 쉽지 않다는 특수성이 있다"며 "외부인의 출입이 자유롭고, 누구든지 24시간 365일 출입할 수 있는 장소"라고 말했다. 이어 "그만큼 보안에 대한 다양성과 복잡도는 계속 커질 것이라는 뜻"이라며 "의료 정보 자체가 가치 있다는 인식을 갖는 것부터가 시작"이라고 밝혔다.
황연수 분당서울대병원 CISO 약력
▲분당서울대학교병원 정보보호최고책임자 (Chief Information Security Officer), 정보보호팀장
▲이학박사 (의료정보학 전공), 공학석사 (컴퓨터공학 전공)
▲대한병원정보보안협회 학술분과장, 디지털헬스보안협회 컨퍼런스사업본부장
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.