메디포뉴스

주메뉴 바로가기
본문 바로가기

2025.06.20 (금)

기관/단체

내년 설립되는 '의료ISAC', 어떻게 추진되나

저렴한 비용으로 보안관제, 취약점 분석평가, 정보공유 등 서비스 지원

김경애 기자 seok@medifonews.com
등록 2017-11-24 05:50:00

정부가 내년 상반기 설립될 예정인 '의료ISAC'에 관해 구체적 추진 방향을 밝혔다.

분당서울대학교병원 헬스케어혁신파크 대강당에서 23일 오전 9시에 개최된 '제11회 병원 의료정보화 발전 포럼'에서, 보건복지부 정보화담당관실 김현철 사무관이 '보건복지부 의료기관 정보보안 추진방향' 주제로 발제를 맡았다.

서두에서 김 사무관은 "최근 랜섬웨어가 화두가 됐다. 랜섬웨어는 정보 탈취보다는 금전 목적으로 접근해 정보를 인질로 잡는다. 이렇듯 악성코드가 증가하고 다양한 취약점이 발견되면서 의료정보에 위협이 고조된 상황이다."라고 말했다.

의료분야는 환자 · 검진 대상자의 개인정보 및 건강정보 등 다수의 민감한 개인정보를 보유하고 있다. 최근 원격의료 등 개인정보 유출 채널이 증가하면서, 정보가 유출될 가능성이 증가하고 있다. 김 사무관은 "개인정보보호 가이드라인이 배포되고 있는데 이것을 현장에 어떻게 적용해야 하며, 어디까지 준수해야 하는지 알 수 없다."라고 지적했다.

정부가 특별히 운영하는 제도는 국가 주요정보통신기반시설로, 현재 서울에는 8개 병원이 지정돼있으며 점차 43개의 민간 종합병원으로 확대할 예정이다. 주요정보통신기반시설은 보안 시설을 갖춰야 하고, 자체적으로 계획을 수립하며 취약점을 점검하는 등 보안이 꾸준히 이뤄져야 한다. 이때 법적규제를 준수할 수 있는 공신력 있는 기관의 기반시설보호지침이 요구된다.

법적 규제의 경우 1500억대 병원 대상 ISMS 인증이 의무화되면서 강화되고는 있으나, 컨설팅 예산 · 전문인력이 부족해 지원이 필요한 실정이다.

이러한 시점에서 민간의료분야에서 사이버 대응체계를 어떻게 세울 것인가가 문제가 된다.

현재 공공기관 대응체계는 정부 주체하에 국가사이버안전관리규정에 의해 예산으로 운영되고 있는 반면, 민간의료는 정보통신기반보호법에 의해 자율 대응 체계로 희망기관들이 가입해서 회원비로 운영된다. 공공기관과 민간의료기관은 보안 주제로 기술적 맥락에서 상통하는 부분이 있기 때문에 상호조화를 통해 함께 사이버보안 대응 체계를 발전시켜 나가야 한다.

김 사무관은 "민간의료의 사이버안전 대응 현황이 어떻고, 필요한 게 무엇이 있는지 31개 상급종합병원 대상으로 올해 3월에 설문 조사했다. 조사 결과 보안관제가 많이 미흡한 것으로 드러났다."라고 말했다.

정부 설문조사에 따르면, '보안관제 미수행'은 48%, '취약점 분석 의뢰 용의'는 80%, '보안정보 미공유'는 77%로 나타났고, 보안사고 대응 시 어려운 점에 대해 '보안기술(전문성)'이 36%, 보안의식 부족이 27%, 관리체계 부재가 17%로 조사됐다. ISAC 지원 희망 서비스 조사에서는 '취약점 분석평가'가 16%로 가장 높았다.

김 사무관은 "취약점 분석평가는 수천만 원의 비용이 들어간다. 매년 주기적으로 지속해서 이뤄지기 때문에 비용 부담에 있어서 지원 필요성을 느끼는 것 같다."라고 말했다.

이러한 설문조사를 바탕으로 정부는 내년 상반기 의료ISAC(Information Sharing & Analysis Center) 설립을 추진하고 있다. 올해 7월에 의료ISAC 설립 · 운영 근거를 마련했고, 초기 기반시설 · 장비 투자를 위한 예산 및 조직을 확보해둔 상태이다.

김 사무관은 "의료기관 자체에서 정보보안 기준을 마련해 자체 역량을 강화하는 전략을 세우고 있다. 2018년 상반기에 의료ISAC이 설립되고, 2019년에 역할이 확대될 예정이다."라고 말했다.

의료ISAC은 사회보장정보원이 담당하며, 보안관제 중심으로 정보공유, 취약점 분석평가 등의 업무가 이뤄진다. 대상은 상급종합병원 우선이며 향후 300병상 이상으로 확대된다.

의료ISAC이 지원하는 서비스는 크게 5가지로, ▲정보공유, ▲교육 · 훈련, ▲보안관제, ▲침해대응, ▲취약점 분석 등이다.

의료ISAC으로 기대할 수 있는 효과는 '비용'이다. 한국인터넷진흥원(KISA)이 2010년 2월 발표한 '정보보호관리체계(ISMS) 인증의 경제적 효과 분석'에 따르면, 정보보호체계 개선으로 연간 70.5억 원의 보안사고 피해비용이 절감되며, 2017년 소프트웨어산업 대가산정 가이드 기준에 따르면, 업무처리 시간 단축으로 연간 98억 원의 업무 효율성이 증대된다.

김 사무관은 "보안사고 피해 비용은 연간 1.64억 원 정도인데 상급병원 43개소 대상으로 본다면 연간 70.5억 원의 비용이 소모된다. 기관에서 4명의 인원을 두고 3교대로 상시한다면 인건비, 시설비 등으로 몇억 정도가 들어간다."라면서, "기관별로 각각 수행하는 것보다 공동으로 보안관제하는 게 비용 절감 면에서 좋고, 국가적으로도 효율적으로 운영할 수 있다."라고 말했다.

의료ISAC 설립으로 정부는 개인정보통합관제센터와 보건복지사이버안전센터를 연계해 공공 · 민간 개인정보 관제를 아우르는 보건복지 정보보호체계를 확립하려 한다.

끝으로 김 사무관은 "내년 설립되는 의료ISAC은 운영 지원 예산이 확보된 상황이다. 자체적으로 관제를 수행하면 매년 몇억씩의 비용이 들어간다. 의료ISAC에 참여하게 되면 훨씬 저렴한 비용으로 보안관제 서비스를 받을 수 있다."라면서, "의료ISAC이라든지 보안적 대책을 마련하고 있는 기관은 인센티브를 받을 수 있도록 협조 요청하겠다. 참여 안 하게 되면 불이익이 가게 되니 관심을 가지고 적극적으로 참여해줬으면 좋겠다."라고 말했다.

김경애 기자 의 전체기사 보기