가톨릭중앙의료원 평화IS, 국제 보안표준규격 첫 획득
옥션, GS칼텍스 등 개인정보 대량유출 사건을 계기로 이어지고 있는 기업들의 "개인정보보호" 노력이 병원계에도 퍼지기 시작했다.
수많은 환자들의 주민등록번호, 질병 이력 등의 정보가 고스란히 담긴 병원의 환자 개인정보가 유출될 경우 막대한 피해가 우려되기 때문이다.
그 첫 발을 내딘 곳은 가톨릭중앙의료원. 성모병원 등 의료원 산하 8개 병원의 정보시스템 통합조직인 평화IS(평화이즈대표 이경상 바오로 신부)는 지난 20일 기자간담회를 통해 국제 규격 및 인증 전문기관인 SGS인증원로부터 평화이즈가 구축한 의료분야 IDC(Internet Data Center)에 대해 "ISO27001인증"을 획득했다고 발표했다.
ISO27001는 국제표준화기구(ISO)에서 제정한 11개 분야, 133개 항목으로 구성된 국제 보안표준규격으로, 정보보호 분야에서 가장 권위 있는 국제인증이다.
이를 위해 평화이즈는 지난 6월부터 종합 정보보호서비스업체 인포섹(대표 김봉오)과 함께 전산센터의 자산분류 및 위험성 평가 등을 통해 보안의 취약점과 위험분석을 실시, 장애요소를 제거하고 IT 프로세스를 개선하는 등의 작업을 수행해왔다.
이 대표는 "국내 의료 IT서비스 분야 최초로 ISO27001 인증을 획득함으로써, 자체 전산센터의 정보보호 서비스 수준에 대한 대외 신뢰도를 객관적으로 평가받게 됐다"며 의의를 밝혔다.
1년마다 사후관리를 받아야 하고, 3년마다 재인증을 받아야 하는 ISO27001은 지속적인 IT프로세스 개선 및 위험관리를 통해 평화이즈 IDC를 이용하는 의료원 산하 8개의 의료정보시스템에 제공한다.
특히, 인증을 통해 만에 하나 정보 유출 사고가 발생했을 때 즉각적인 위험관리가 가능하다는 능력을 인정받았으며, 전사 차원으로 교육을 진행해 병원 직원들의 환자정보에 대한 인식도 바꿔놓았다.
이 대표는 "그간 필요했으나 신경쓰지 않던 병원 대표자들이 환자정보보호의 중요성을 인식하기 시작한 것"이라며, "국제적 수준의 정보보호 서비스를 제공하고, 최근 이슈가 되고 있는 각종 정보보호 위험에 대해 보다 적극적이고 체계적인 관리서비스를 제공할 것"이라고 강조했다.
평화이즈는 현재 국내에서 인증하는 KISA ISMS 인증 획득도 준비 중에 있으며, 향후 8개 병원 의료정보 시스템 통합의 목표 달성을 위해 정보보호를 통한 신뢰도를 기반으로 의료정보서비스 회사로서의 입지를 구축한다는 계획이다.
서울대병원, 서울아산병원 등도 ISO27001인증을 위한 접촉을 시도함에 따라 가톨릭에 이어 빠른 시일 내 인증 획득 병원들이 늘어날 것으로 보인다. 특히 정보유출 문제로 떠들썩한 국민건강보험공단과 심평원도 인증을 위한 수순에 들어감에 따라 의료계의 정보보호는 한층 더 강화될 전망이다.
임솔 기자
slim@monews.co.kr