행자부, 의료기관 현장점검···"암호화 등 위반 사례 많아"
개인정보보호법 강화에도 불구하고 의료기관의 개인정보 보호조치는 여전히 취약한 것으로 드러났다. 이에 의료분야에 대한 점검이 한동안 계속될 전망이다.
행정자치부 개인정보보호정책과 김언중 사무관[사진]은 17일 오전 연세대학교 신촌세브란스병원 6층 은명대강당에서 열린 '제8회 병원 의료정보화 발전포럼'을 통해 지난 1월 종합병원급 의료기관 20개소를 대상으로 이뤄진 현장점검 결과를 공개했다.
그 결과 지난해 말 건강보험심사평가원의 지원을 받아 진행한 개인정보보호 자율점검 과정에서 발생한 소란에도 불구하고 여전했다.
2015년 10개 종합병원을 대상으로 진행된 현장검사 결과 9곳에서 30건의 법규 위반사항이 적발된 것과 비교해도 달라진 점이 거의 없었다.
김 사무관에 따르면 20개 기관 중 17개 기관에서 총 37건의 위반사례가 적발됐다. 이 가운데 가장 많은 기관에서 문제가 된 사례는 개인정보보호법 제29조에 해당하는 개인정보의 안전성 확보조치를 위반한 경우다.
특히 의료정보시스템(OCS 등)나 홈페이지 로그인, 회원가입시 비밀번호를 전송구간하는 구간에 대해 암호화하지 않거나, OCS 및 건강검진시스템 접속기록 보관시 수행업무 누락, 필수항목 누락 등이다.
심지어 정보보안의 기본인 내부관리계획을 수립하지 않거나 회원 가입 등에 필요한 개인정보 활용 동의를 받지 않은 경우도 많았다.
이 외에도 업무위탁 내용과 수탁자, 개인정보보호 책임자 등 필수항목에 대해 제대로 공개하지 않거나 수탁자 교육 누락, 개인정보 파기 위반 등 다양한 문제도 확인됐다.
이와 관련, 김 사무관은 "현장점검을 해보면 방화벽을 세우거나 관련 체계 및 시스템을 구축하는 등 예산이 많이 드는 부분에 위반사항이 많다"면서 "이전 현장점검 결과와도 크게 다르지 않다"고 지적했다.
이어 "의료분야는 주요 점검대상으로 선정돼 선후의 문제일 뿐 언젠가는 점검을 받게 된다. 더구나 의료기관 정보 유출시 파급여파가 크기에 의료기관과 담당자의 관심과 주의가 필요하다"며 주의와 협조를 당부했다.
행자부와 함께 복지부 정보화담당관실 김동현 사무관은 "의료기관의 개인정보 보안지원을 위해 8개 민간 상급종합병원을 정보통신 기반시설로 지정하고 취약점 및 보안수준 점검 등을 지원할 예정"이라고 밝혔다.
그는 아울러 "정보통신기반시설을 점진적으로 확대하는 한편, 정보보안가이드(매뉴얼)을 제작・배포해 정보보호 기준을 제시할 계획"이라며 "북한의 사이버테러 위험수위가 높아지는데다 정보보호관리체계(ISMS) 인증 의무화에 대비해 병의원에서의 기본적인 정보보호조치가 가능토록 지원하겠다"고 덧붙였다.
한편, 포럼 좌장을 맡은 신호철 강북삼성병원장 등은 비용에 대한 부담은 높은데 돌아오는 소득은 크지 않고 상당히 많은 유사인증을 진행하고 준비하는데 어려움을 겪는다는 점을 부각하며 인증 등 제도 및 절차의 간소화 혹은 정부 지원을 제안해 시각차를 보였다.
|