서로 신뢰하지 못해 의료기록 공유조차 꺼리는 문화
[보안뉴스 주소형] 그 어떤 개인정보보다 유출 파급력이 크다는 의료정보. 그런데 과연 이런 의료정보는 의료기관만 보유하고 있을까? 아니다. 최근 버라이즌(Verizon)이 발표한 의료정보 유출 보고서에 따르면 금융 서비스기업, 소매업계, 정부기관 등도 모두 직원들의 의료 데이터를 갖고 있으며 이에 대한 관리가 허술하다.
▲ 이 환자 차트 무얼 믿고 넘겨주지...
해당 보고서는 1994년부터 2014년 까지 20년 동안 발생했던 의료정보 유출사건들을 바탕으로 분석했다. 이 기간 동안 미국 내에서는 3억 9,200만 건의 유출사고가 있었는데 이는 미국 인구 반 이상에 달하는 수치다. 여기에는 다양한 사건사고 정보 공유 커뮤니티의 데이터도 사용됐다.
그렇게 버라이즌 연구팀이 의료정보 유출사건 리스트들을 정리해보니, 사건의 진원지가 의료 기관만이 아닌 것으로 나타났다. 또한 정보를 구분할 때 ‘환자(patient)’라는 단어만 있으면 무조건 의료정보로 분류된다는 점을 발견했다.
즉 우리가 알고 있는 의료정보 유출사건 가운데는 우리가 생각하던 그 정보가 아닌 경우도 많다는 것이다. 예를 들어 치과에서 결제한 결제관련 금융정보도 치과에서 결제한 내역이 있는 것만으로도 의료정보로 취급되고 있다고 설명했다. 대학 클리닉이나 건강프로그램 사용내역 등도 마찬가지라고 덧붙였다.
“의료정보로 구분되는 기준이 엉망이다. 들여다보면 의료정보가 아닌데 불구하고 의료정보라는 타이틀을 달고 있는 기록들이 상상 이상으로 많았다.” 버라이즌 리스트분석팀 수석 연구원인 수잔 위드업(Suzanne Widup)이 말했다.
물론 모든 의료정보 유출사고가 그렇다는 건 아니라고 강조했다. 의료정보를 보유하고 곳을 병원 네트워크에만 국한시켜서는 안 된다고 밝혔다. 의료정보는 다양한 곳에서 보유하고 있다. 사무실과 연구실 등 각종 의료서비스 센터들도 모두 해당 정보들을 갖추고 있기 때문이다.
특히 의사가 병원 밖의 환자가 있는 곳으로 직접 가서 진료하는 왕진 서비스에 대한 기록의 경우는 더욱 그렇다. 왕진 기록들은 대형 병원 네트워크에서 관리하지 않는다. 특히 유명인이나 타깃 공격을 받을 확률이 높은 이들의 왕진 서비스 이용률이 높아 더욱 위험하다고 보고서는 경고했다.
의료정보를 관리하는 주체에 관계없이 가장 큰 문제는 ‘실수(error)’와 ‘신체적 행동(physical actions)’으로 조사됐다. 정보들이 담겨있는 기기들을 도난당하거나 잃어버리는 경우가 여기에 해당된다. 물론 해당 기기의 대부분은 암호화되어 있지 않다.
따라서 의료관련 정보들은 기기가 아닌 데이터 자체에 암호화해둘 필요가 있다고 위드업 연구원은 말했다. 기기를 잃어버리더라도 데이터에 대한 통제권은 따로 갖고 있어야 한다는 것.
하지만 의료산업은 보안기술에 상당한 경계심을 갖고 있다. 응급한 상황 발생시, 보안절차가 다소 방해가 되는 경우가 있기 때문이다. 하지만 기기의 도난과 분실이 늘어나고 있어 보안기술 도입에 대한 필요성이 점점 높아지고 있는 상황. 그렇게 않으면 아예 중요한 환자정보 및 의료정보는 휴대할 수 있는 기기를 통해 접속이 불가하게 차단하게 해야 하는 편이 안전하다고 보고서는 조언했다.
그나마 기기에 대한 분실 혹은 도난 여부를 빨리 알아차리고 보고된다면 다행이다. 유출사고가 발생하고 나서 유출경로를 추적하는 과정에서 이 같은 사실이 드러나는 경우도 적지 않기 때문이다.
한편 이러한 의료분야의 허술한 보안은 의료산업의 성장까지 저해시키고 있다. 하버드 연구팀의 조사 결과에 따르면 응답자의 12.3%가, 위스콘신대학교 밀워키캠퍼스 (University of Wisconsin-Milwaukee) 조사에 따르면 응답자의 13%가 보안 관련 걱정으로 전자의료기록인 EHG(Electronic Health Records) 제공을 보류하거나 꺼리고 있는 것으로 집계됐다. 각자 보안 및 안전에 대한 신뢰도가 없다보니 나타나는 현상이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>