.png)
.png)
서울아산병원 내부에서는 ‘보안 교전’이 벌어진다. 외부 해커가 아닌 병원 스스로 조직한 ‘레드팀’이 주체다. 이들은 실제 침해 사고와 동일한 시나리오로 병원망에 침투해 데이터의 노출 한계를 집요하게 파고든다. 결과는 냉정하다. “점검할 때마다 취약점을 발견한다”는 게 현장의 생생한 고백이다.
유소영 서울아산병원 빅데이터연구센터 교수는 지난 24일 진행한 인터뷰에서 ‘모의 해킹’을 가장 강력한 보안 자구책으로 꼽았다. 관행적인 점검이나 이론 중심의 교육만으로는 의료 데이터 보안의 역동적인 위협에 대응하기 어렵다는 이유에서다.
“진료 정보 유출, 법적 책임을 넘어선 ‘신뢰 자산’의 손실”
|
특정 질환, 치료 시점, 방문 기록 등을 조합하면 개인을 특정하는 단서가 될 수 있다. 여기에 식별 정보를 결합하면 금융 사기나 보험 악용을 넘어 ‘사회적 낙인’이라는 치명적인 2차 피해로 이어질 수 있다는 게 그의 설명이다.
유 교수는 “데이터 유출은 단순히 처벌로 끝날 게 아니라 전문직 윤리와 의료 시스템에 대한 사회적 신뢰가 붕괴되는 비극”이라며 “의료기관은 금융기관과 더불어 가장 방대한 민감 정보를 다루는 곳이다. 보안 역시 최고 수준의 회복 탄력성을 갖춰야 하는 이유”라고 강조했다.
의료 데이터 보안의 또 다른 걸림돌은 역설적이게도 ‘업무적 익숙함’이다. 의료진에게 진료 정보는 매일 마주하는 일상적 데이터다 보니 환자가 느끼는 정보의 무게감과 의료진의 체감 농도 사이에 간극이 생길 수밖에 없다는 것이다.
그는 “진료 현장의 효율성을 우선하다 보면 보안이 검증되지 않은 범용 채널을 통해 소통하는 등 구조적인 취약점이 발생할 수 있다”며 “개별 의료진의 문제라기보다 현장의 특수성을 반영한 보안 가이드라인과 기술적 지원 체계가 미비하기 때문에 벌어지는 현상”이라고 분석했다.
아울러 그는 보안을 개인의 주의력 문제가 아닌 ‘조직적 거버넌스’의 영역으로 보았다. 유 교수는 “데이터 접근 권한의 명확화, 사고 발생 시의 책임 체계, 그리고 데이터 활용에 대한 사회적 공감대 형성을 병행해야 한다”고 강조했다.
