암호화•정보 접근권한 통제 등으로 개인정보유출 사전방지해야

올해 시행된 개인정보보호법과 함께 해킹, 악성코드 배포, 내부직원 등에 의한 정보 유출 등 개인정보유출사례가 급증하면서 의료분야에서도 개인정보보호에 대한 관심이 커지고 있다.

파수닷컴(대표 조규곤)은 지난 15일 양재동 엘타워에서 진행된 ‘2012 헬스케어 IT 전략 세미나’에서 의료분야를 위한 효과적인 개인정보보호 솔루션을 선보이며 병원 관계자에게 개인정보보호의 필요성과 해결 방안을 제시했다.  

파수닷컴 측은 의료분야는 환자의 신상정보와 건강정보를 적게는 수백 건에서 많게는 수십만 건까지 보유하고 있어 정보유출을 최소화하기 위한 노력이 필요하다고 설명했다. 특히 올해 국정감사 자료에 따르면 정보유출 사례 중 90%가 협력체를 통한 유출을 포함해 내부자에 의한 정보유출로, 내부직원교육 및 관련 보안의 중요성이 커지고 있다.

내부정보유출은 업무용 PC에 저장된 파일을 이메일을 통해 외부로 전달하거나 USB등 외부저장장치, 출력물 등을 통해 발생한다. 현재 병원에서 관리하는 환자정보는 EMR, OCS, PACS등 병원 정보시스템을 통해 전자화되어 생성/저장/관리되고 있으나 업무상의 이유로 개인정보가 담긴 문서를 PC에 생성하거나 정보시스템에 접근해 개인정보문서를 PC로 저장하는 경우도 빈번하다.

파수닷컴 측은 내부자에 의해 유출 될 수 있는 환자들의 개인정보를 보호하기 위한 방법으로 아래 세 가지를 제시했다.  

우선 개인정보를 포함한 문서는 실시간으로 탐지돼 자동 암호화돼야 한다. PC에서 생성된 문서나 USB나 이메일 등을 통해 PC에 저장된 문서에서 개인정보가 탐지되면 즉시 자동으로 암호화되어 보호해야 한다.  

또한 개인정보는 권한이 있는 사용자만 접근할 수 있어야 한다. 암호화된 개인정보 파일은 권한 설정에 따라 접근통제를 해야 하며, 권한이 있는 사용자일 경우에도 열람/편집/캡쳐/인쇄 등 권한이 부여된 기능만 사용해야 한다. 만약 개인정보파일이 외부로 유출됐을 경우에도 권한 없이 무단으로 열람할 수 없어야 한다.

아울러 관리자는 개인정보파일의 사용행위에 대한 사후감사를 해야 한다. 즉, 관리자는 어떤 사용자의 PC에 개인정보 파일이 있고, 누가 그 개인정보 파일을 사용하고 있는지 감시하고 통제함으로써 향후 일어날 수 있는 개인정보 유출사고를 미연에 방지해야 한다.

한편 파수닷컴은 현재 병원을 포함한 의료분야에 특화된 솔루션을 통해 서울대병원, 분당서울대학병원, 한림대학교의료원 등에 개인정보보호 시스템을 성공적으로 구축했다. 또한 비용에 부담이 큰 개인병원 등 소규모 병원을 위해 월 사용 서비스비용만으로 개인정보보호서비스를 받을 수 있는 클라우드 서비스도 제공한다.

<데일리그리드>