의료분야의 개인정보유출 현황은 적신호?!

 

의료정보는 개인의 건강 및 신체정보를 다루는 만큼 반드시 보호돼야 하는 민감정보입니다. 두 말할 것도 없이, 의료기관은 환자로부터 얻은 의료정보를 안전하게 관리해야 할 의무가 있는데요. 하지만, 국내 의료산업은 대표적으로 보안 투자가 미약하게 이뤄지고 있는 산업 중 하나입니다. 이러한 사실은 개인정보보호 위반 사례가 증가하고 있는 요즘, 특히 의료분야의 사고가 끊이지 않는다는 측면에서 더욱 주목 받고 있습니다.

 

특히, 최근 진행한 제17회 개인정보보호위원회 전체 회의 결과, 병원을 포함해 학회, 약국 등 12개의 의료 사업자가 개인정보보호 의무 위반으로 총 1억 223만원의 과징금을 부과 받았는데요. 랜섬웨어 등 해킹 공격으로 인한 고객정보 노출, 목적 달성 이후 삭제 조치가 필요한 고객정보를 원본으로 보유, 보호 조치를 취하지 않은 고객정보의 내부 공유 등이 개인정보보호 의무를 이행하지 않은 근거로 평가 받았기 때문입니다.

 

 

데이터 3법 개정에 따라 개인정보 관리에 대한 기업 및 기관의 책임 의무가 커졌습니다. 이때 의료정보는 개인을 식별할 수 있는 명백한 개인정보일 뿐만 아니라, 본인 외 다른 사람이 정보를 입수했을 경우 심각한 피해를 입을 수 있는 민감정보이기도 하죠. 의료기관이 계속해서 이러한 보안 인식을 갖는다면, 환자가 직접적으로 피해를 입는 보안 사고가 자칫 일어날 수 있을 것입니다. 따라서 의료기관은 정보유출을 보다 철저히 막기 위해 보안에 대한 전환점이 필요합니다.

 

이를 위해 의료기관은 우선적으로 ‘고객정보 분류를 통한 보안 조치’와 ‘고객정보 보관 시 가명 처리’를 이행해야 합니다. 첫번째에 해당하는 ‘고객정보 분류를 통한 보안 조치’는 내부 또는 외부에서 데이터를 탈취하려는 행위에 대응하기 위함입니다. 실제로 총 1억원이 넘는 과징금 중 절반 이상이 해킹 및 랜섬웨어에 의한 고객정보유출로 인해 부과됐는데요. 따라서 의료기관은 데이터 저장소에 존재하는 고객정보를 파악하고 중요도에 따라 보안 정책을 적용함으로써 위와 같은 탈취 행위를 보다 강력히 예방할 필요가 있겠습니다.

 

 

Fasoo Data Radar (파수 데이터 레이더)는 데이터가 존재하는 전체 저장소에서 개인정보를 포함한 민감정보를 탐색합니다. 이를 통해 관리자는 한눈에 민감정보를 파악할 수 있죠. 더불어, 보안 정책 측면에서 특장점을 갖고 있는데요. 민감정보를 식별할 뿐만 아니라, 각 정보의 특성을 파악해 삭제, 격리, 암호화와 같은 후처리 조치를 취할 수 있습니다. 특히, 파수가 자랑하는 위치 상관 없는 암호화 기술을 통해 혹시나 데이터가 유출되더라도, 권한자가 아니라면 데이터의 내용을 확인할 수 없어 추가적인 피해를 효과적으로 막을 수 있습니다.

 

그렇다면, 이렇게 정보 유출 시까지 대비할 수 있는 솔루션이 있는데 ‘고객 정보의 가명 처리’는 왜 필요한 것일까요? 그 이유는 데이터가 꼭 가시적으로 유출된 게 아니더라도, 진료를 위해 환자 정보를 공유하는 과정에서 또한 개인정보보호 의무를 위반할 수 있기 때문입니다. 실제로, 한 의료기관은 메일을 통해 환자의 정보를 공유하는 과정에서 주민등록번호 원본을 그대로 전달한 것이 확인돼 벌금을 부과 받았는데요. 물론, 의도한 행동은 절대 아니었겠지만 고객 정보를 활용할 때는 필요 정보 외에 가명 처리가 필요함을 알 수 있는 사례였습니다.

 

 

Fasoo의 AnalyticDID (애널리틱디아이디)는 컴플라이언스를 준수하며 합법적으로 고객 정보를 활용할 수 있도록 가명 처리가 가능합니다. 특히, 요즘처럼 환자 정보가 정말 폭발적으로 늘어나고 있는 시기에 유용하게 사용할 수 있도록 업계에서 가장 빠른 데이터 처리 속도를 자랑합니다.

 

최근 Fasoo는 ISEC, PASCON 등 여러 오프라인 정보보호 행사에서 고객 분들을 만나며 위의 두 제품을 직접 선보이고 있습니다. 뿐만 아니라, 실제 해당 행사장에서 오늘 포스팅한 주제에 대해서 심도 있게 고민하고 계시는 의료기관 정보보호 담당자 분들을 만나 다양한 이야기를 나눌 수 있었는데요.

 

ISEC 2021 요약 보러 가기

https://www.fasoo.com/event/upcoming/2021101201

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo

PASCON 2021 행사 안내(2021.11.11) 보러 가기

https://www.fasoo.com/event/upcoming/2021110401

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo

 

의료업계의 개인정보 관리 정황은 앞으로 개인정보보호법 체계가 강화됨에 따라 계속해서 주목 받을 수 밖에 없음을 알 수 있었습니다. 개인의 민감한 정보를 다루는 만큼, 개인정보보호 책임의 무게가 따라온다고 해석이 되는데요. Fasoo의 우수한 솔루션을 통해 환자에게는 양질의 의료 서비스를 제공하고, 수집되는 데이터는 안정적으로 관리하는 의료기관으로 거듭나시면 좋겠습니다!