국가정보원이 병원정보시스템(HIS)의 보안 강화를 위해 보안가이드라인 버전 1.0을 새롭게 제정하고 의료기기 도입 시 보안 기준 및 이해관계자 협의를 의무화하는 방안을 제시했다.
국정원은 HIS 보안가이드라인을 통해 병원 시스템 운영 환경의 복잡성 증가에 따른 보안 위협을 지적하며, 환자 생명과 직결되는 정보 보호의 중요성을 강조했다. HIS는 환자 개인정보와 진료기록 등 민감 정보를 다루는 만큼 해킹으로 인한 시스템 마비는 직접적인 생명 위협으로 이어질 수 있다는 설명이다.
가이드라인에 따르면, 의료기관은 새로운 의료기기 도입 시 모든 단계에서 영향을 받는 내부 직원과 외부 그룹 대표 등과 협의해야 하며, 해당 장비가 기존 시스템에 미치는 영향을 사전에 분석하고 도입 여부를 결정해야 한다. 또한, 장비 도입 전 보안 영향 분석과 운영 절차 준비, 테스트 방법 정의, 교육 제공 등이 포함돼야 한다.
의료기기 공급자는 보안 요구사항을 충족시키고 이에 대한 테스트 결과를 제공해야 하며, 의료기관은 이를 검토한 뒤 경영진의 공식 승인을 받아야만 실제 사용 및 업그레이드를 할 수 있다.
의료기기 보안 요구사항으로는 식별 및 인증, 사용 통제, 시스템 무결성, 데이터 기밀성, 이벤트 대응, 자원 가용성 등이 명시됐다. 이와 함께 보안 기능이 기기의 기본 안전성과 필수 성능에 악영향을 미치지 않도록 주의해야 한다고 밝혔다.
응급 모드에 대한 보안 지침도 포함됐다. 응급 상황에서 환자 등록 없이 의료기기를 사용할 수 있는 기능인 응급 모드는 위급 상황에 한정해 사용 가능하도록 설정해야 한다는 내용이다.
아울러 개인정보의 경우 의료법 시행규칙에 따라 보존 기간과 방법을 준수해야 하며, 연장 보존 시에는 의료기관 홈페이지 또는 보기 쉬운 장소에 고지할 것이 권고됐다.
국정원은 “의료기기 보안 요구사항을 모두 적용할 수 없는 경우라도 가능한 항목은 적용하고, 대체 보안 방안을 강구해야 한다”고 밝혔다. 가이드라인 전문은 국가사이버안보센터 홈페이지에서 확인할 수 있다.
한편 국정원에 따르면, 2023년 국내 상급종합병원 41곳의 계정 정보와 의료 종사자의 근로계약서 등이 다크웹에 노출된 사건이 있었으며, 2021년에는 북한의 해킹 공격으로 83만 명의 환자 및 직원 정보가 유출된 바 있다.
About the Author
