의료 데이터를 취급하는 민간기업들이 보안 설비 구축을 위해 독자적인 시스템을 개발하거나 국제적으로 신뢰성이 입증된 클라우드 컴퓨터 서비스를 활용하고 있는 것으로 확인됐다.

산업 전반에 디지털화가 이뤄지고 있고 데이터의 중요성이 부각되고 있는 가운데, 특히나 민감정보로 분류되는 의료 정보는 활용 만큼이나 보안이 중요한 만큼 업체들은 제각각 최선의 방법을 선택했다는 입장이다. 

앞서 히트뉴스는 국회 보건복지위원회의 국정감사 서면질의에서 언급됐던 국민건강보험공단과 건강보험심사평가원의 사이버 보안 현황을 소개한 바 있다.

관련기사 의료 데이터 창고, 잘 잠그기는 했지만

그렇다면 의료데이터를 수집·관리하거나 공공기관 데이터를 활용하고 있는 민간기업들의 사이버 보안 현황은 어떨까. 히트뉴스는 디지털치료기기 개발사 라이프시맨틱스(대표 송승재)와 의료 인공지능솔루션 기업 루닛(대표 서범석), 그외 익명을 요구한 디지털 헬스케어 업체들을 대상으로 민간기업들의 보안 현황을 확인했다.

먼저 데이터 보안이 적정하다고 판단할 수 있는 기준이다. 업체들 의견을 종합해보면 의료 데이터 보안 적정성을 판가름할 수 있는 기준은 미국 의료정보보호법(HIPAA), 한국인터넷진흥원의 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 정도가 있다.

HIPAA는 의료 기록 및 기타 식별 가능한 건강정보와 같은 의료정보를 보호하기 위한 데이터 개인정보 보호 및 보안에 관한 미국 법률로 국내에서 인정되는 공식 인증은 아니나 신뢰도를 확보했다는 근거가 된다.

ISMS-P는 정보통신망법 제47조와 개인정보 보호법 제32조의 2에 근거를 둔 정보보호 및 개인정보보호 관리체계 인증으로 한국인터넷진흥원의 인증제도다. 인터넷진흥원은 업체의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적함함을 증명한다.

라이프시맨틱스, 루닛 등 업체들은 모두 HIPAA 적합성을 인증 받았거나 ISMS-P 인증작업 착수에 나섰으며, ISO27001(개인정보보호) 인증 등을 획득한 상황이다.

데이터 보안을 위해 업계는 독자적 시스템을 구축하거나 아마존, 구글 등이 제공하는 클라우스 컴퓨터 시스템인 AWS, GCP 등을 활용하고 있는 것으로 확인됐다.
*클라우드 컴퓨터 : 원격으로 클라우드에 접속해 컴퓨터를 사용하는 형식으로 컴퓨터 작업이 클라우드에서 이뤄져 다양한 기기에서 동일한 업무 환경을 제공할 수 있다.

업계에 따르면 이 같은 업무환경에는 장단이 있는데 독자적 시스템에는 핵심기술 노하우 확보라는 장점이 있는 방면 상대적으로 많은 비용이 소요된다는 단점이 있다.

클라우드 컴퓨터를 활용할 경우 플랫폼이 제공하는 신뢰성 있는 보안 프로세스를 상대적으로 저렴한 비용으로 사용할 수 장점이 있지만 지속적인 지출이 발생하며 데이터 송수신 규모나 활용하는 기능에 따라 천차반별 요금이 부과될 수 있는 것은 단점으로 꼽힌다.

라이프시맨틱스는 DDos 등 외부 침입시도 탐지를 제외한 제공 중인 서비스 전체 보안 설계와 개발, 서비스 보안성검토 및 운영 모두 독자적인 보안팀이 운영하고 있다고 밝혔다.

이들은 내부 데이터 취급 시스템이나 서비스 개발은 회사 핵심기술인 만큼 보안 전문인력을 채용·활용하고 있다는 입장이다.

김광훈 정보보호최고책임자는 "라이프시맨틱스는 ISO27001(정보보호), ISO27017(클라우드보안), ISO27701(개인정보보호)를 비롯해 헬스케어 산업분야에 필요한 ISO27799(의료정보보호)를 취득하고 있다"며 "수면패턴 등의 라이프로그부터 개인 유전체정보나 의무기록 등 높은 중요도를 가진 정보 보안을 위한 다방면 조치를 취하고 있다"라고 설명했다.

또한 "외부 침입시도 등 탐지를 위해 외부 전문업체를 통해 상시 외부관제서비스를 받고 있다"라고 덧붙였다.

익명을 요구한 업체 관계자는 클라우드를 활용하는 이유에 대해 "금고가 아무리 좋아도 은행이 안전한 것은 당연하다"라고 답했다.

다만 의료 데이터가 갖는 특성은 반영해야 하며 클라우드 사업자가 시스템에 대한 노하우와 사용자간 신뢰성을 확보하고 있다는 것이 전제다.

따라서 그는 클라우드 중 AWS와 GCP를 주로 사용하고 있다고 밝혔다. 아마존이 제공하는 AWS와 구글이 제공하는 GCP는 마이크로소프트와 함께 글로벌 클라우드 시장을 리딩하고 있는 리소스로 알려져 있다.

이 같은 클라우드 서비스는 상대적으로 많은 투자가 요구되는 독자적인 시스템 구축보다 초기 비용이 적게 들고, 효과적으로 보안수준을 보증받을 수 있다는 것이 업계 입장이다.

업계 관계자는 기술개발에 주력할 수 밖에 없는 스타트업에게 클라우스 서비스는 인력과 비용을 효율적으로 사용할 수 있는 좋은 선택지라고 설명하기도 했다.

실제로 아마존 공식홈페이지를 살펴보면, AWS는 △상시 모니터링 체계 △VPC, TLS 등 데이터 암호화 △암호화 키 등을 제공하고 있다.

이 밖에도 독자적인 시스템 구축과 외부 클라우드 등 상황에 따라 적절히 혼합된 보안체계를 구축하고 있는 사례도 있다.

루닛은 내부 인력, 외부 용역 등을 통해 이뤄지는 데이터 보안을 사내 정보보호 조직이 총괄하고 있는 방식을 사용하고 있다.

또한 개인 의료영상을 사용하는 기업 특성상 ISO27001을 중심으로 개인정보보호책임자를 따로 배치해 상시적인 데이터 흐름을 추적하고 있는 한편 전산 마비 등에 대비한 주요 서버·서비스에 대한 백업 등 조치를 취하고 있다.

이 같은 민간업체 데이터 보안 현황에 전문가는 의료 데이터 가치에 중점을 둔 보안시스템을 마련해야 한다고 밝혔다.

그는 "디지털 헬스케어에서 취급하는 정보들은 민감정보로 분류되는 만큼 기업의 규모보다 취급하는 데이터 중요성에 기반한 보안정책을 펼쳐야 한다"라고 설명했다.