2009년 10월 11일


병원街, DB보안 서둘러 추진
 

성모· 세브란스· 건대병원 등 속속 나서…GS칼텍스 사고 이후 분위기 고조 

2009년 10월 11일 (일) 21:33:41 김정은 기자 jekim@eikorea.com 


병원업계 DB보안 사업이 본격화 되고 있다. 병원들은 그동안 DB보안 사업에 대해 그 필요성은 인식하면서도 정작 우선순위 사업에서는 제외시켜 왔다. 그러나 지난해 터진 GS칼텍스의 개인정보유출 사고를 계기로 병원들도 내부자에 의한 정보유출을 막기 위한 대책 마련에 속속 나서고 있는 것으로 파악된다. 

DB보안 사업을 추진했거나 추진 중인 병원들에 따르면, 중요 환자의 개인정보가 담긴 DB에 누가 접근해서 무엇을 하는지 즉, 데이터 변경 및 조작 여부에 대한 내부자 감시(내부정보보안)의 필요성이 높아졌고, 관계 법령도 점차 강화되는 추세
라 DB보안 사업을 서둘러 추진해야 할 상황이다. 

현재 서울아산병원이 DB보안 솔루션 도입을 위해 BMT 중이며, 대형 병원들을 시작으로 병원가 DB보안 사업이 활성화될 것으로 전망된다. 지금까지 성모병원, 삼성병원(서울, 마산), 건대병원(서울, 충주), 신촌 세브란스병원, 분당서울대병원, 중앙대병원, 원자력병원, 경찰병원 등이 DB보안 사업을 진행했거나 진행 중이다. 

◆내부직원들의 환자 정보 접근 ‘이제 함부로 안 돼’= 병원 전산담당자들은 최근 병원가에 DB보안 사업이 본격화 되고 있는 가장 큰 이유로 자체적인 환자 개인정보보호의 필요성 증대 및 인식 강화를 꼽았다. 

여기에는 GS칼텍스의 고객정보유출 사고가 내부직원에 의한 것이었다는 점이 타산지석이 되고 있다. 더욱이 정보통신망법 등 개인정보보호 관련 법이 강화되고 있기 때문에 ‘어차피 해야 할 것이라면 소 잃고 외양간 고치기’ 전에 서둘러 대비해야 한다는 인식이 높은 것으로 나타났다. 

건대병원은 지난해 말부터 DB보안 사업을 진행하여 현재 프로그램 셋업을 마치고 안정화 단계에 있다고 밝혔다. 신촌세브란스병원도 지난해 DB보안 사업을 시작했으며 강남세브란스병원도 DBMS 업그레이드를 하면서 DB보안 사업을 진행하는 것을 검토 중이다. 가톨릭중앙의료원은 ‘종합의료정보시스템(nU: neuro-Ubiquitous)’ 프로젝트를 진행하면서 5개 병원의 DB보안 사업을 진행했다. 5개 병원 중 수원 성빈센트병원은 별도로 MIS(경영관리시스템) DB에 대한 암호화 기능을 추가 적용한 것으로 알려진다. 

서울아산병원은 원내 보안지침에 의해 환자 개인정보보호를 위한 DB보안 솔루션 도입을 추진 중이다. 현재 솔루션을 놓고 BMT 중이며 올해 접근통제 방식의 DB보안 사업을 진행하고 추후 암호화 솔루션을 도입할지 검토할 계획이라고 밝혔다. 

병원 한 전산 담당자는 “병원들 사이에서 그동안 정보 보안이나 관리가 크게 이슈화 되지 못했고, 투자 대비 효과가 나타나는 부분이 아니라 만일을 위해 대비하는 부분이라 투자 우선순위에서도 미뤄졌던 게 사실”이라며 “GS칼텍스 사고를 통해 개인정보유출 사고 시 정보보호를 소홀히 해온 기업에 주어지는 책임이 크고 이미지 저하로 경영손실까지 이어질 수 있음을 확인했다. 환자의 중요 개인정보를 보유하는 병원들이 정보보호 인식을 강화하고 DB보안 등 보안 투자를 하게 된 계기가 됐다”고 전했다. 

◆대형병원 외에 ‘개인병원의 DB보안 방안도 마련돼야’= 병원들이 DB보안 사업에 속도를 내면서 DB보안 솔루션 업체들 간에 시장 확대 경쟁도 심화될 것으로 예상된다. 

병원들은 DB보안 솔루션 선정 시 의료정보시스템 운영 업무에 최대한 부하가 덜 가고 운영서버의 컨피그레이션 변경이나 시스템 구성도에 변화 없이 도입할 수 있는 접근통제 방식의 DB보안 솔루션을 선호하는 추세다. 때문에 바넷정보기술, 소만사, 웨어밸리, 피앤피시큐어와 같은 접근통제방식의 DB보안솔루션 업체들은 이제 막 열리기 시작한 병원 DB보안 시장을 선점하기 위해 본격 경쟁에 나서고 있다. 

DB보안업체 한 관계자는 “금융, 공공, 제조, 유통, 포탈 업체들이 전사적으로 DB보안 사업을 진행한 것에 비하면 병원 분야는 사업이 조금 늦게 시작됐다. 일본을 포함한 해외국가의 병원들은 히파(HIPPA) 등 국제의료관계 규정을 준수하기 위해 이미 DB보안 사업을 많이 추진한 상황이다. 국내 의료정보보호법이 있긴 했으나 규제가 제대로 이뤄지지 않아 그동안 병원들이 서로 눈치만 보아왔다”며 “국내 병원들도 이제 환자 개인정보보호의 중요성을 느끼고 서두르지 않으면 큰 코 다친다는 사실을 깨달았기 때문에 대형 병원들을 중심으로 DB보안 사업이 가속화되고 있는 것”이라고 말했다. 

이 관계자는 또한 자체적으로 시스템을 갖추거나 보안 투자를 할 여력이 없는 개인병원들에 대한 DB보안 방안도 국가 차원에서 반드시 마련되어야 한다고 강조했다.