의료법 시행규칙 일부개정령(안) 영상정보 보호 및 관리 관련 규정 체크
보안업계, “보안 취약한 저가 제품 사용 방지 위한 보조금 증액 필요”
주요 기업 수술실 CCTV 영상보호·이용관리 솔루션 전격 비교
[보안뉴스 윤서정 기자] 그동안 수많은 논쟁을 겪어온 수술실 CCTV 설치 의무화 시행이 어느덧 한 달 앞으로 다가왔다. 아직 준비를 끝내지 못했다면 하루라도 빠른 대비가 필요한 시기다. 이에 CCTV가 촬영한 영상을 보호하기 위한 ‘수술실 CCTV 영상보호·이용관리 솔루션’이 주목받고 있다. 과연 영상관리와 반출에 대한 법령은 어떻게 구성돼 있으며, 수술실 CCTV 영상보호·이용 관리 솔루션과 관련해 어떤 제품들이 있는지 <보안뉴스>가 주요 솔루션을 비교해봤다.
[이미지=gettyimagesbank]
지난 3월 17일 입법예고된 의료법 시행규칙 일부개정령(안)은 제34조2부터 제34조11까지 신설돼며, 의료법 제38조의2(수술실 내 CCTV의 설치·운영)와 관련해 시행규칙을 자세히 규정했다.
9월 25일부터 시행될 의료법 시행규칙 개정령안에는 △수술실 내 CCTV의 설치기준 △촬영의 범위 △촬영의 요청 절차 △촬영 거부 사유 △녹음 요청 △영상정보의 안전성 확보 조치 △영상정보의 열람제공 절차 △영상정보 열람대장의 작성 및 보관 △영상정보의 열람 등에 소요되는 비용 청구 △영상정보의 보관기준 등이 담겨 있으며, 3월 17일부터 4월 26일까지 의견 수렴을 완료했다. 보건복지부 보건의료정책과에 따르면 수렴된 의견을 바탕으로 9월 25일 즈음 보완·확정된 의료법 시행규칙 일부개정령이 공포될 예정이다.
의료법 시행규칙 일부개정령(안)의 영상정보 보호 및 관리 관련 규정 체크
의료법 시행규칙 일부개정령(안)의 영상정보 보호 및 관리와 관련돼 알아야 할 내용은 크게 다음의 3가지로 나눌 수 있다.
첫째, 의료기관의 장은 영상정보의 안정성을 확보하기 위해 다음 5가지의 조치를 취해야 한다. △법정 보관 기한을 준수할 수 있도록 충분한 저장 용량을 확보하고 저장장치와 네트워크를 분리하는 조치 △영상정보를 관리하는 컴퓨터 사용에 대한 암호를 설정하고 해당 컴퓨터 사용에 관한 기록이 남도록 설정하며, 그 기록을 보관 및 관리하는 조치 △접근 권한을 관리 책임자, 운영 담당자 등 최소한의 인원에만 부여하고 영상정보가 재생되거나 열람이 이루어지는 장소로의 접근은 접근 권한이 부여된 자에 대해서만 허용하는 조치 △영상정보 처리에 대한 의료기관 내부 관리계획을 수립하고 시행하며 그 이행 상황을 점검하는 조치 △저장장치를 접근이 제한된 구획된 장소에 보관하거나 보관시설에 대한 잠금장치 또는 훼손 방지 장치를 구비하는 조치 등이다.
둘째, 영상정보의 열람 또는 제공(이하 ‘열람 등’)을 요청하는 자는 정보주체 모두에 대하여 받은 열람요청서를 의료기관의 장에게 제출해야 한다. 의료기관의 장은 영상정보의 열람 및 제공 요청을 받으면 관계서류나 증표를 통해 요청자 본인 여부를 확인한 후 요청한 날부터 10일 이내에 서면으로 열람 방법을 통지하고 이에 따라 열람 등을 제공해야 한다. 다만, △보관기간이 지나 영상정보를 파기한 경우 △증명서류를 제시하지 못한 경우 △정보주체 모두의 동의를 받지 못하는 경 우 △그 밖의 정당한 사유가 있다고 보건복지부 장관이 인정하는 경우에는 의료기관의 장은 열람을 거부할 수 있으며, 요청을 받은 날부터 10일 이내에 서면으로 거부 사유를 통지해야 한다. 열람 등을 제공한 경우에는 요청자의 성명 및 연락처, 파일의 명칭 및 내용, 목적, 거부한 경우 구체적 사유 등이 포함된 영상정보 열람대장을 작성하고 3년 동안 보관해야 한다. 의료기관의 개설자는 실비의 범위에서 의료기관의 장이 정하는 바에 따라 열람 등을 요청한 자에게 비용을 청구할 수 있다.
셋째, 의료기관의 장은 촬영된 영상정보를 30일 이상 보관해야 하며, 30일 이상 보관하고 있는 영상정보는 제34조의7에 따른 내부 관리 계획에서 정한 주기에 따라 정기적으로 삭제해야 한다. 다만 열람 등을 요청받은 경우 또는 요청 예정을 사유로 보관의 연장을 요청하는 경우에는 보관기간 이 지나도 삭제해서는 안되며, 해당 사유가 종료될 때까지 보관해야 한다. 연장을 요구한 기관이나 사람은 업무 절차 준비 및 진행 예정을 증명할 수 있는 서류를 의료기관의 장에게 제출해야 한다.
▲영상정보 열람,제공 신청서 및 열람,제공,연장 동의서[자료=각 기업 제공]
의료정보 관계자, “열람 동의에 관한 의료진의 범위 좀 더 명확해야”
한기태 대한병원정보협회 회장은 “시행규칙 일부개정령안에는 정보주체 모두에 대해 받은 열람동의서를 첨부해야 한다고 규정돼 있다. 의료진이 동의하지 않으면 열람 및 제공이 불가능하기 때문에 제도가 실용성이 있으려면 의료진의 동의가 관건”이라고 말했다.
또한, “수술에는 다수의 의료진이 참여하기 때문에 모두에게 동의서를 받기가 쉽지 않고, 병원정보 시스템에 수술실 CCTV 관련 정보를 관리하는 프로그램이 필요하지만 동의하는 의료진 수에 따라 수기로 처리하는 방법을 사용할 수도 있을 것”이라며, 열람 동의에 관한 의료진의 범위가 좀 더 정확해야 할 것이라고 조언했다.
“현재는 법 시행을 앞두고 CCTV를 설치하고 솔루션을 도입하는 것 뿐만 아니라, 각 병원에서 관련 업무 분장을 위해 프로세스 분석을 통한 부서별 역할 및 담당자 결정과 각 장비·장소 등을 고민하는 시기”라며, 법 시행 전까지 설치 및 운용과 관련한 리허설뿐만 아니라, 서버 및 저장장치에 대한 안정성 확보조치에 대한 점검이 필요하다고 덧붙였다.
보안업계, “보안 취약한 저가 제품 사용 방지 위한 보조금 증액 필요”
보안업계 관계자들은 수술실 CCTV 설치 의무화 시행에는 보안 이슈가 가장 중요함에도 불구하고 정부의 예산지원이 턱없이 부족해 법이 성공적으로 시행되기 위한 준비에 어려움을 겪고 있다고 봤다.
이어 “의료기관 중에는 예산 부족 및 관리 비용 부담 등을 이유로 설치를 미루거나, 별다른 조치 없이 CCTV 설치 자체에만 의의를 두는 곳들도 있다”고 전했다. 또 다른 관계자는 “저가로 공급되는 제품은 보안에 더욱 취약하기 때문에 의료기관의 부담을 낮출 수 있는 현실적인 보조금 예산 책정이 필요하다”고 말했다.
성공적인 제도정착을 위해서는 더욱 명확한 지침과 설치 제품 관련 가이드라인 마련을 통해 혼선을 방지해야 하고, 법 준수 여부를 확인하기 위한 지속적인 모니터링과 보안인증에 대한 규정 수립이 필요하다는 의견도 보였다.
▲수술실 CCTV 설치 의무화 영상보안 조항 관련 설문 결과[자료=보안뉴스 정리]
수술실 CCTV 설치 의무화의 핵심 ‘영상보안’ 조항에 대한 생각은?
본지는 ‘수술실 CCTV 설치 의무화’의 영상보안 내용과 관련해 보안업계와 수요자들이 어떤 의견을 가지고 있는지 알아보고자 온라인 회원을 대상으로 설문조사를 진행했다. 설문조사는 7월 11일부터 17일까지 6일간 진행됐으며 총 897명이 참여했다.
먼저, ‘의료법 시행규칙 개정안에 따르면 영상정보는 30일 이상 보관해야 한다. 30일 이상의 영상 정보 보관 기간이 적정하다고 생각하는가’라는 질문에 약 56.9%가 ‘적정하다’고 응답했으며, 41.1%는 ‘적정하지 않다’고 응답했다.
‘CCTV 영상보관 기간으로 어느 정도가 적정하다고 생각하는가’라는 질문에는 ‘6개월 이상~1년 미만’이 31.1%로 가장 많았다, 이어, ‘1년 이상~3년 미만’이 23.1%, ‘3년 이상’이 21.4%, ‘1개월~6개월 미만’이 16.7%, ‘30일 미만’이 7% 순으로 나타났다.
이어 의료법 시행규칙 일부개정령(안)에 규정된 수술실 내 촬영거부 사유 6가지와 관련해 물어봤다. 그리고 75% 이상이 총 6가지 사유 중 5가지 사유에 대해 ‘촬영 거부사유로 적정하지 않다’를 선택해, 의료법 시행규칙 일부개정령(안)에서 규정한 촬영 거부사유 대부분에 대해 적절하지 않다고 생각하는 것을 알 수 있었다.
각각 살펴보면 첫 번째 촬영거부 사유인 ‘응급의료에 관한 법률 제2호제1호에 따라 응급환자를 수술하는 경우’는 81.3%가 ‘촬영거부 사유가 될 수 없다’고 응답했다.
다음으로 ‘생명에 위협이 되거나 신체기능의 장애를 초래하는 질환을 가진 경우로서, 보건복지부 장관이 정하는 경우에 해당하는 환자를 수술하는 경우’의 사유 역시 81.3%가 ‘촬영거부 사유가 될 수 없다’고 응답했다.
세 번째 사유인 ‘상급종합병원의 지정 및 평가에 관한 규칙 제2조에 따른 상급종합병원의 지정기준에서 정하는 전문진료질병군에 해당하는 수술을 하는 경우’는 87.7%,가 ‘촬영거부 사유가 될 수 없다’고 응답했다.
네 번째 사유로 규정된 ‘전공의의 수련환경 개선 및 지위 향상을 위한 법률 제2조제3호에 따른 지도전문의가 전공의의 수련을 현저히 저해할 우려가 있다고 판단하는 경우’에 대해서는 87%가 ‘촬영거부 사유가 될 수 없다’고 봤다.
다섯 번째로 ‘수술을 시행하기 직전 등 촬영이 기술적으로 어려운 시점에서 환자 또는 환자의 보호자가 촬영을 요청하는 경우’는 75.6%가 촬영거부 사유가 될 수 없다고 응답했다.
마지막 촬영거부 사유로 규정된 ‘천재지변, 통신 장애, 사이버 공격 기타 불가항력적 사유로 인해 촬영이 불가능한 경우’에 대해서는 51.9%가 촬영거부 사유가 될 수 없다고 응답했다.
한편, ‘수술실 CCTV 촬영 시 함께 진행될 수 있는 녹음 기능의 필요성에 대해서 어떻게 생각하는가’라는 질문에는 ‘의료진 동의 없이 바로 녹음돼야 한다’라는 응답이 59.3%로 가장 많았으며, ‘의료진 동의 하에 녹음이 필요하다’라는 응답이 31.1%, ‘굳이 녹음이 필요 없다고 생각한다’라는 응답이 7%, ‘잘 모르겠다’와 ‘응답 없음’이 각각 1.3%를 차지했다.
▲수술실 CCTV ‘영상보호·이용관리 솔루션’ 관련 설문 결과[자료=보안뉴스 정리]
수술실 CCTV 설치 의무화의 핵심 ‘영상보안’ 조항에 대한 생각은?
지난 3월에는 강남의 한 유명 성형외과 진료실과 탈의실 IP 카메라 영상이 유출돼 논란을 일으켰다. 아직 정확한 유출원인은 밝혀지지 않았지만 경찰은 해외에서 병원 IP 카메라를 해킹한 것으로 무게를 두고 수사를 진행하고 있다.
대한의사협회는 성명을 통해 “IP 카메라가 아닌 CCTV를 설치하더라도 영상의 도난·분실·유출 등의 위험을 막을 수는 없기 때문에 환자의 영상정보가 생성되는 순간부터 유출의 위험성이 상존 한다”며, 수술실 CCTV 설치가 의무화되면 이같은 사건이 발생할 가능성이 증가할 것이라고 우려 를 표했다.
수술실 내 CCTV는 신체·의료정보 등 민감정보가 포함돼 있기 때문에 유출될 경우 큰 피해가 발생하는 것이 사실이다. 따라서 수술실 CCTV 설치 의무화 제도 시행에 따른 위험성을 낮추기 위해서는 안전한 영상 반출 및 유출 방지가 무엇보다 중요하다. 이에 <시큐리티월드>는 ‘수술실 CCTV 영상보호·이용관리 솔루션’에 대해 어떤 의견들이 있는지 물어봤다.
‘수술실 CCTV 영상보호·이용관리 솔루션 도입 및 운용 시, 이를 얼마나 신뢰할 수 있을 것이라고 생각하는가?’라는 질문에는 76.9%가 ‘대체적으로 신뢰할 수 있다’고 답했으며, 완전히 신뢰할 수 있을 것이다(14.4%), 전혀 신뢰할 수 없을 것이다(5.0%), 잘 모르겠다(3.0%), 응답 없음(0.7%) 순으로 응답했다.
‘수술실 CCTV 영상 보호·이용관리 솔루션 도입 및 운용 시, 얼마나 실효성이 있을 것이라고 생각하는가?’라는 질문에는 ‘실효성이 매우 높을 것이다’라는 응답이 60.6%로 가장 많았다. ‘실효성이 있긴 하나 높지 않을 것이다’라는 응답이 32.4%로 뒤를 이었으며, ‘실효성이 없을 것이다’라는 응답은 4.7%였다.
수술실 CCTV와 관련해 도입될 수 있는 솔루션 기능을 크게 △반출 △영상촬영 △저장 등 세 가지로 나눴을 때 중요하게 생각하는 순서로는 ‘영상촬영-저장-반출’이 50%로 가장 많았으며, ‘영상 촬영-반출-저장’과 ‘저장-영상촬영-반출’이 각각 12%로 나타났다.
이어 수술실 CCTV 영상보호·이용관리 솔루션을 선택할 때의 기준으로는 39.5%가 ‘제품의 성능’이라고 응답했으며, ‘유지보수 및 서비스 등 맞춤형 지원’이 15.7%, ‘사내 인프라 및 설비와의 호환성’이 13.4%, 이외에 기술·장비·전문인력 보유 현황(9.4%), 다양한 구축사례 및 레퍼런스(8.7%), ‘기업 브랜드 인지도’·‘도입비용’(5%). 기타 및 응답없음 순이었다.
한편, 업계 관계자들은 수술실 CCTV 영상 보호·이용관리 솔루션을 도입할 때 병·의원이 반드시 고려해야 할 점으로 △폐쇄망으로 구축 △고도화된 영상보안기준 적용 △영상정보데이터의 보안(무결성, 기밀성, 동일성) △암호화 저장 가능 여부 △영상 위변조 방지 및 안전한 영상반출관리 시스템 구축 △무분별한 열람 및 외부 유출 방지하기 위한 접근통제 기능 △의료진의 법령지침 사항 숙지 및 이해 △녹화 관리시스템 관리주체간의 영상정보 관리 기준 수립 △AS 편의성 등을 꼽았다.
▲수술실 CCTV 영상보호·이용관리 솔루션[자료=각 기업 제공, 보안뉴스 정리]
주요 기업 수술실 CCTV 영상 보호·이용관리 솔루션
그렇다면 시장을 형성하고 있는 영상관리 솔루션들에는 어떤 것들이 있을까? 주요 기업 7곳의 ‘수술실 CCTV 영상 보호·이용관리 솔루션’을 통해 어떤 주요 기능이 있는지 살펴봤다(기업명 가나다 순).
마크애니의 ‘Content SAFER for Healthcare’는△병원환경 맞춤형 업무 프로세스(촬영동의-반출신청-접수-보안적용-승인-반출) 적용 △자동추척 마스킹 기능 △자체보유된 암호화 모듈로 국정원 인증을 받아 적용된 3단계 보안 △특허기술 적용으로 포렌식기법으로 유출자확인 가능 △현장방문 사전컨설팅으로 SI성 턴키사업 발주 가능 등의 기능을 보유하고 있다.
씨게이트 테크놀로지(이하 씨게이트)의 ‘SkyHawk AI 20TB’는 △최대 64대 카메라 프레임 손실 없는 영상 녹화 △32개의 AI스트림 추가 지원 △연간 최대 550TB 워크로드 레이트 △250만 시간 MTBF 지원 △제한 보증 5년/데이터복구 서비스는 3년간 1회 △인공지능을 통한 영상 분석 기능 포함된 NVR 시스템으로 상황에 맞는 워크 로드 자동 제어 등의 기능이 특징이다.
아이디스의 ‘수술실 세이프 솔루션’은 △국내 연구진 개발 △인증서 방식 기반으로 카메라와 녹화기 1:1 연결 지원해 보안성 제고 △영상 저장 데이터와 백업파일에 대한 암호화 처리 후 안전한 저장 및 추적관리 △전용 플레이어로만 저장 데이터 재생 가능 등을 강점으로 꼽을 수 있다.
아이서티의 ‘EDRON-VIEW & I-VPM v1.0’은 △무결성, 기밀성, 동일성 보안 암호화 기술과 기술에 대한 국가정보원(KCMVP)으로부터 1급 보안 암호화 인증 △초당 30,000프레임의 데이터 보안 암호화 처리 기술을 이용해 카메라로부터 전송되는 영상을 최초 저장 시부터 실시간으로 기밀성·무결성을 적용해 저장 △선별적 마스킹 기술 △영상 진위여부 쉽게 판단할 수 있도록 보안 암호화 기술 제공 등이 주요기능으로 꼽힌다.
우경정보기술의 ‘SECUWATCHER for OR’은 △사람 및 얼굴 감지(Human & Face Detection)로 자동 및 수동 객체추적기능 제공 △외부 반출 시 DRM 기술로 위변조 차단 및 △실시간 퀵-마스킹 △전용 플레이어를 이용한 영상접근제어 기능 △관리서버 통한 체계적인 영상반출 관리 △의료기관 내 기존 운영 시스템과 통합 운용 등의 특징을 가진다.
포커스에이치엔에스의 ‘의료영상정보관리시스템(MVS)’은 △영상반출 솔루션 녹화 및 관리기능 △사용자 편리 기준 대시보드 형태 구현 △영상 반출 뷰어 자동실행기능 △동영상 마스킹 기능 7개 항목 선택기능 부여로 편리성 적용 △영상 무결성 보장 및 위변조 알고리즘 적용 △이력관리 등 전체 운영 히스트리 자동 관리 시스템 등이 강점이다.
한화비전의 ‘XRP-4010B2 저장장치 및 XND-C6083RV 카메라’는 △서버 이중화 통한 안정적 장애 대응 가능 △강력한 내부 프로세스와 정책에 입각한 철저한 보안 관리 △서비스 전문 교육 수료한 엔지니어를 통한 신속하고 정확한 유지 보수 및 서비스 제공 등이 특징으로 꼽힌다.
▲마크애니 수술실 CCTV 영상반출 보안 솔루션 ‘콘텐츠 세이퍼 포 헬스케어’[자료=마크애니]
[수술실 CCTV 영상보호·이용관리 솔루션 –1] 마크애니
마크애니, 의료기관 전용 CCTV 영상반출 보안 솔루션 출시
국내 80여개 지자체 CCTV 관제센터 통해 검증된 영상관리 솔루션
오는 9월 25일부터 의료법 개정안 제38조의2, 일명 수술실 CCTV 의무화법이 시행된다. 의료법 개정안과 지난 3월 23일 발표된 의료법 시행규칙 일부 개정안에 따라 전신 및 수면마취 등 환자의 의식이 없는 상태에서 의료행위를 진행하는 병원은 수술실 내부 사각지대를 최소화할 수 있는 곳에 고해상도(HD)급 CCTV를 의무적으로 설치해야 한다.
의료법 개정안에서 IT 및 보안 관계자들이 주목해야 할 부분은 제34조의7, 영상정보의 안전성 확보 조치 부분이다. 병원은 CCTV 설치 시 저장장치와 네트워크를 분리해야 하고 영상 정보 침해사고 발생을 예방하고 대응할 수 있도록 영상 위변조 조치를 마련해야 한다.
영상정보를 안전하게 관리하기 위해 접근 권한 제한은 물론 영상을 암호화 처리도 해야 한다. 이에 의료기관은 수술실 내부에 CCTV 설치는 물론 CCTV 영상정보 관리 계획과 함께 수술실 CCTV 영상보안 방안 마련이 필요하다.
수술실 CCTV 의무화법 시범 운영부터 함께한 ‘마크애니’
마크애니는 2019년 수술실 CCTV를 시범 도입한 경기도의료원 산하 6개 병원에 CCTV 영상반출 보안 솔루션 ‘콘텐츠 세이퍼 포 씨씨티비(Content SAFER for CCTV)’를 구축했다. 이 솔루션은 이미 80여개 지자체 관제센터에 도입돼 보안성과 운영 안정성을 검증받았다. 마크애니는 당시 수술실 내 CCTV 영상 외부 반출 관리와 영상 오남용 예방을 위해 제품의 커스터마이징을 진행했다.
그리고 이와 같은 경험을 살려 의료법 개정안이 국회를 통과한 이후 2022년 4월부터 스쿼드 조직을 구성해 의료기관 영상반출 솔루션 구축 계획 수립을 시작했다. 경기도의료원에 구축한 노하우와 대학·종합·병의원 등 다양한 의료기관과의 집단 심층 면접(FGI : Focus Group Interview)을 통해 솔루션 방향성과 필요 기능에 대해 논의했다. 이를 바탕으로 지난해부터 본격적인 개발과 마케팅 전략 수립에 나섰다.
의료기관에 최적화한 ‘콘텐츠 세이퍼 포 헬스케어(Content SAFER for HealthCare)’
마크애니는 기존 지자체에서 성능을 검증받은 기술력과 더불어 수술실 환경에 맞춰 대응할 수 있도록 재구성한 경험과 DRM, 인공지능 등 기존에 보유한 원천기술을 통해 법안에 신속하게 대응할 수 있었다. 그리고 의료법 시행규칙 일부 개정령(안)의 개인정보보호 및 보안 요구 조건을 수용토록 병원 고객의 관점에서 제품을 설계했다.
특히, AI 활용과 대규모 CCTV 영상 보관 및 반출 작업 등 수술실 CCTV 기능적 부분을 고도화하기 위해 서버 점유율이 높은 델 테크놀로지스와 협업해 성공적인 구축을 위한 협업을 진행하고 있다. 또한, 전국의 모든 의료기관에 CCTV 영상 보안 솔루션을 원활하게 공급할 수 있도록 전국 영업망을 갖춘 케이티(KT)와 한국후지필름비즈니스이노베이션 등 협력사와의 전략적 제휴를 통해 고객 친화적 비즈니스모델을 완성했다.
마크애니의 수술실 전용 영상보안반출 솔루션 ‘콘텐츠 세이퍼 포 헬스케어(Content SAFER for HealthCare)’에서 주목할 기능은 환자와 의료진의 얼굴, 신체를 빠르게 모자이크할 수 있는 인공지능 기반 마스킹이다. 수술 촬영 영상에서 마스킹이 필요한 사람을 선택하면 전체 영상에서 자동으로 모자이크되는 딥러닝 기반 객체 검출 모델(Object Detection) 기술을 활용했다. 영상 내에서 인물이 움직이더라도 객체 추적 알고리즘(Object Tracking) 기술이 적용돼 모자이크가 유지되며, 섬세한 작업이 필요할 때는 수동으로 객체를 지정할 수 있다.
의료진의 기본권을 보장하는 영상 리뷰기능도 탑재했다. 수술에 참여한 의료진은 마스킹이 완료된 영상을 직접 확인하고 모자이크 처리가 제대로 되지 않았다고 판단되면 관리자에게 재작업을 요청할 수 있다. 이는 수술실에 참여한 의료진의 법적 반출승인 과정이 솔루션 내에서 지원돼 의료진과 영상 관리자의 결제 편의성과 관리 용이성을 제공한다.
유출 대응을 위한 기술도 적용했다. 반출 영상에는 디지털 포렌식 워터마킹 기술이 적용된다. 영상반출 요청자, 병원 등 영상반출에 필요한 정보를 눈에 보이지 않는 형태로 영상에 적용해 불법 유출 시 유출 경로와 근원지를 추적할 수 있도록 했다. 이 모든 과정은 화면 캡처 방지 기능이 적용돼 타사 솔루션과 차별화 되는 보안성 요소라 할 수 있겠다.
영상보안을 위한 안전장치도 갖췄다. 모자이크 처리와 의료진 리뷰가 완료된 영상은 반출 시 국정원에서 검증받은 암호화 모듈이 적용된다. 마크애니는 자체 보유하고 있는 암호화 모듈 기술로 국정원에 검증받은 영상보안 반출솔루션 회사이며, 솔루션에 적용된 특허기술만 2개로 독보적인 기술력을 갖추고 있다.
수술실 CCTV 반출 영상 전용 플레이어 외에는 영상을 확인할 수 없으며, 해당 영상은 영상반출을 요청한 환자와 보호자 또는 유관기관에만 영상 재생 권한을 부여해 열람할 수 있도록 했다. 또한, 영상반출의 3단계인 개인정보 비식별화·워터마크를 통한 유출추적·보안 고도화를 위한 암호화 적용과 반출 후 30일 이후 자동폐기 기능이 모두 적용돼 의료기관뿐만 아니라 환자 및 보호자에게도 안심과 편의를 제공하도록 최적화했다.
[수술실 CCTV 영상보호·이용관리 솔루션 –2] 씨게이트
9월 25일부터 CCTV 설치 의무화되는 수술실, 최적의 솔루션은?
수술실, 데이터 생성 규모에 따른 최적의 시스템과 스토리지 필요해
오는 9월 25일부터 환자의 의식이 없는 상태에서 수술을 시행하는 의료기관은 의무적으로 수술실 내부에 CCTV를 설치해야 한다. 수술실 내부에서 발생하는 불법적인 의료 행위를 방지하고 의료 분쟁 발생 시 증거를 확보하기 어려운 환자 및 보호자를 위한 의료법(제38조의2)이 본격 시행되기 때문이다. 그에 따라 수술실이 있는 의료 기관들은 새롭게 CCTV를 마련하기 위해 관련 제품을 살펴보고 있을텐데 중요한 것은 CCTV만이 아니다. 수술실 CCTV로 촬영한 영상은 의료 기관 측에서 의무적으로 30일 이상 보관해야 하기 때문에 데이터 저장장치(스토리지) 역시 중요하다. 보통 장기간 CCTV 영상을 보관하는 스토리지로는 HDD(하드 디스크 드라이브)가 사용되는데 안전성을 고려한다면 영상 데이터 기록용으로 최적화된 HDD를 선택하는 것이 좋다.
CCTV 환경에 최적화된 ‘스카이호크 AI’ HDD
▲씨게이트 스카이호크 AI[자료=씨게이트]
씨게이트(Seagate)의 ‘스카이호크 AI(SkyHawk AI)’는 영상 녹화 환경에 최적화된 ‘이미지퍼펙트 AI(ImagePerfect AI)’ 펌웨어가 적용돼 24시간 365일 연속으로 CCTV 영상을 기록하는 환경에서도 안전하게 데이터를 보관할 수 있다. CCTV 영상에서 데이터 오류를 줄이고 다중 녹화 시 프레임 손실을 방지하는 내부 알고리즘도 적용됐다.
또한, 인공지능으로 영상을 분석하는 기능이 포함된 NVR(네트워크 비디오 레코더) 시스템에 연결된 경우에는 자동으로 상황에 맞게 데이터 쓰기 및 읽기 워크 로드(일정 시간 시스템이 처리해야 하는 작업량)를 제어한다. 데이터 저장 용량에 따라 8TB·10TB·12TB·16TB·18TB·20TB 등 여섯 가지 모델에서 선택해 사용하면 된다. 또, 수술실이 많지 않은 1, 2차 의료기관은 스카이호크 AI와 연계된 NVR 시스템을 구성하면 장기간 CCTV 영상을 보관하고 관리하기에 충분한 환경을 구축할 수 있다.
다수의 CCTV 운용에도 문제없는 ‘엑소스 E 2U12’·‘엑소스 E 5U84’
한편, 대학 병원처럼 규모가 큰 3차 의료 기관은 수술실이 여러 곳 존재하고 다른 장소에도 다수의 CCTV를 구비해 운용하는 것이 일반적이다. 그로 인해 매일 녹화하는 영상 데이터 용량이 큰데, 이를 통해 생성된 데이터를 안전하게 보관하기 위해서는 규모가 큰 스토리지를 구성할 필요가 있다.
씨게이트의 ‘엑소스 E 2U12(Exos E 2U12)’는 최대 12개의 HDD를 장착해 사용하는 JBOD 스토리지(다수의 디스크를 하나의 디스크처럼 구성해 활용하는 스토리지)이다. 최대 264TB에 달하는 용량을 CCTV 영상 데이터 저장 용도로 운용할 수 있다. 더 방대한 규모의 영상 데이터를 저장해야 하는 경우에는 최대 84개의 HDD를 장착할 수 있는 ‘엑소스 E 5U84’를 선택하면 되는데, 이 경우에는 약 1.8PB에 달하는 방대한 용량을 활용할 수 있다. 이들 제품군은 비디오 보안 감시 외에도 백업·복구, 빅데이터 분석, 고성능 컴퓨팅 등 높은 내구성과 안전성을 요구하는 데이터 센터와 서버 등에 적합한 엔터프라이즈급 스토리지 시스템이기도 하다.
‘엑소스 E 2U12’와 ‘엑소스 E 5U84’는 각각 2U 규격 랙과 5U 규격 랙에 설치할 수 있으며 최대 대역폭 12Gb/s(초당 기가비트)인 SAS 인터페이스로 데이터를 전송한다. 데이터 처리량은 단일 컨트롤러 적용 시 14.4GB/s(초당 기가바이트)이고 듀얼 컨트롤러 적용 시 28.8GB/s로 CCTV 수백대로 촬영한 영상 데이터도 큰 무리 없이 실시간으로 저장할 수 있다.
▲씨게이트 엑소스 E 2U12와 5U84[자료=씨게이트]
CCTV로 보장되는 환자와 의료인의 권리
CCTV는 설치하는 것도 중요하지만 그보다 더 중요한 것은 촬영한 영상 데이터를 장기간 안전하게 보존하는 것이다. 특히 수술실에 설치되는 CCTV는 환자의 생명과 권리를 보호하기 위한 수단으로써 마련되는 것이기 때문에 영상 데이터 관리는 소홀하게 이뤄져서는 안 된다. 또한, 수술실 CCTV 영상은 의료인이 수술 과정에서 잘못을 저지르지 않은 경우, 결백을 밝히는 증거 자료가 될 수도 있어 의료 기관 측에도 굉장히 중요하다.
CCTV와 함께 영상 데이터 보관에 최적화된 스토리지를 갖춘다면 언젠가 의료 분쟁이 발생하더라도 빠르게 문제를 해결할 수 있기 때문에 새로운 CCTV를 준비하고 있거나 계획 중인 의료기관 관계자라면 이러한 부분을 충분히 고려해 시스템을 구축할 필요가 있다.
▲IDIS 수술실 세이프 솔루션 적용 제품[자료=아이디스]
[수술실 CCTV 영상보호·이용관리 솔루션 –3] 아이디스
CCTV 영상 데이터 보안·편리함 모두 잡았다
아이디스, ‘수술실 세이프 솔루션’ 출시
중국 SoC를 사용하지 않고 국내에서 직접 개발, 생산해 더욱 안전한 보안을 자랑하는 토탈 영상보안 솔루션 기업 아이디스가 ‘수술실 세이프 솔루션’을 출시했다. 이 솔루션은 사각지대 없이 360도 촬영이 가능한 CCTV 카메라 및 딥러닝 엔진(IDLE 4.0) 기반의 서버로 구성돼 있다. 또, 장치 간 1대 1 상호 인증을 통한 데이터 전송, 지정 물체를 추적해 자동으로 모자이크하는 기능 등을 통해 의료진과 환자의 개인정보보호 역할을 수행한다.
국내 자체 개발·생산 제품으로 해킹 우려 적어
최근 서울의 한 성형외과 수술실 영상 유출 사건에 사용된 성형외과의 중국산 IP 카메라는 인터넷에서 해킹 방법이 널리 공유되고 있을 정도로 보안에 취약했다. 하지만 국가대표 영상보안 기업인 아이디스의 제품은 국내에서 직접 자체 개발, 생산한 제품으로 국내외 시장에서 기능적인 부분뿐만 아니라 안정성과 보안성까지도 인정받고 있다. 특히, 그 어느 영상정보보다 민감해 더 안전하게 보호·관리할 수 있어야 하는 ‘수술실 세이프 솔루션’은 Made in Korea라는 이름에 걸맞게 직접 개발, 생산한 제품들로 구성돼 CCTV 영상 유출 위험을 원천 차단한다.
아이디스가 직접 개발한 다이렉트 아이피(DirectIP2.0)는 보안성은 높이고, 하드웨어의 활용성은 최대로 끌어올린 아이디스 전용 프로토콜이다. 제품 간 인증서 기반의 상호인증을 통해서만 카메라와 녹화기가 1대 1로 연결되기에 중간에 데이터를 탈취하거나, 가동 중인 카메라에 대한 이중 연결이 불가해 외부로의 영상 탈취 경로를 원천 봉쇄한다.
수술실 특화 CCTV 카메라인 피쉬아이 카메라는 한 대의 카메라 설치만으로 수술실 전체를 VR 보듯이 한눈에 볼 수 있어 사각지대를 최소화할 수 있다. 현장에 있는 것처럼 수술실 전체 상황을 쉽게 파악할 수 있으며, 마치 여러 카메라로 다른 영역들을 모니터링하듯 다양한 배열로 나눠 영상을 분석할 수 있다.
모든 아이디스 녹화기의 데이터베이스는 독자 특허 보안 기술인 아이뱅크(iBANK)가 적용돼 외부 프로그램으로는 녹화 데이터를 확인할 수 없도록 설계했다. 또한, 체인드 핑거 프린트 방식으로 모든 영상 데이터 프레임에 지문과 같은 고유한 식별 데이터를 남기고, 이 데이터들이 체인과 같이 서로 연결돼 있어 하나의 고리라도 이상이 생겼을 경우 영상 탈취 및 위변조 여부를 바로 확인할 수 있다.
녹화된 영상은 무분별하게 반출되지 않도록 영상 반출 시스템을 제공한다. 실무자와 관리자 간 반출을 신청하고 승인받는 시스템으로, 반출되는 영상은 암호화돼 권한 없는 사용자는 열람이 불가하다. 반출되는 모든 영상은 간단한 드래그 한 번에 지정된 물체를 자동 추적하는 모자이크 처리 기능을 지원하며 반출 영상 기간 제한 설정, 영상 사용내역 기록 등을 관리하는 영상 반출 서비스를 운영할 수 있다.
▲IDIS 수술실 세이프 솔루션 적용 예시[자료=아이디스]
최대 8배 빠른 영상 분석 가능한 ‘IDLE 4.0’ 탑재
아이디스 딥 러닝 엔진 (IDLE 4.0)으로 현장 상황을 즉시 인지해 효율적인 영상 분석이 가능하다는 점도 주목할 만하다. IDLE 4.0은 하나의 분석장치에서 최대 64채널의 영상을 동시에 분석할 수 있어 숙련된 모니터링 요원 그 이상의 역할을 수행한다.
딥러닝 기법으로 최대 64개의 움직이는 물체를 추적할 수 있으며, 지정한 영역을 모자이크하거나 반전 모자이크 역시 가능하다. 이를 통해 환자와 의료진 모두 주요 개인정보 중 하나인 얼굴 정보를 간편한 조작 한 번으로 모자이크해 유출을 방지할 수 있다.
황병국 아이디스 국내사업본부장은 “자체 개발 풀 라인업으로 자사 솔루션에 대한 수요가 늘어나고 있는 추세에 맞추어 ‘아이디스 딥 러닝 엔진(IDLE) 4.0’ 기술력을 토대로 의료법 개정화에 대한 안전성을 담보 받을 수 있도록 기여할 계획이다”라고 말했다.
[윤서정 기자(sw@boannews.com)]
보안업계, “보안 취약한 저가 제품 사용 방지 위한 보조금 증액 필요”
주요 기업 수술실 CCTV 영상보호·이용관리 솔루션 전격 비교
[보안뉴스 윤서정 기자] 그동안 수많은 논쟁을 겪어온 수술실 CCTV 설치 의무화 시행이 어느덧 한 달 앞으로 다가왔다. 아직 준비를 끝내지 못했다면 하루라도 빠른 대비가 필요한 시기다. 이에 CCTV가 촬영한 영상을 보호하기 위한 ‘수술실 CCTV 영상보호·이용관리 솔루션’이 주목받고 있다. 과연 영상관리와 반출에 대한 법령은 어떻게 구성돼 있으며, 수술실 CCTV 영상보호·이용 관리 솔루션과 관련해 어떤 제품들이 있는지 <보안뉴스>가 주요 솔루션을 비교해봤다.
[이미지=gettyimagesbank]
지난 3월 17일 입법예고된 의료법 시행규칙 일부개정령(안)은 제34조2부터 제34조11까지 신설돼며, 의료법 제38조의2(수술실 내 CCTV의 설치·운영)와 관련해 시행규칙을 자세히 규정했다.
9월 25일부터 시행될 의료법 시행규칙 개정령안에는 △수술실 내 CCTV의 설치기준 △촬영의 범위 △촬영의 요청 절차 △촬영 거부 사유 △녹음 요청 △영상정보의 안전성 확보 조치 △영상정보의 열람제공 절차 △영상정보 열람대장의 작성 및 보관 △영상정보의 열람 등에 소요되는 비용 청구 △영상정보의 보관기준 등이 담겨 있으며, 3월 17일부터 4월 26일까지 의견 수렴을 완료했다. 보건복지부 보건의료정책과에 따르면 수렴된 의견을 바탕으로 9월 25일 즈음 보완·확정된 의료법 시행규칙 일부개정령이 공포될 예정이다.
의료법 시행규칙 일부개정령(안)의 영상정보 보호 및 관리 관련 규정 체크
의료법 시행규칙 일부개정령(안)의 영상정보 보호 및 관리와 관련돼 알아야 할 내용은 크게 다음의 3가지로 나눌 수 있다.
첫째, 의료기관의 장은 영상정보의 안정성을 확보하기 위해 다음 5가지의 조치를 취해야 한다. △법정 보관 기한을 준수할 수 있도록 충분한 저장 용량을 확보하고 저장장치와 네트워크를 분리하는 조치 △영상정보를 관리하는 컴퓨터 사용에 대한 암호를 설정하고 해당 컴퓨터 사용에 관한 기록이 남도록 설정하며, 그 기록을 보관 및 관리하는 조치 △접근 권한을 관리 책임자, 운영 담당자 등 최소한의 인원에만 부여하고 영상정보가 재생되거나 열람이 이루어지는 장소로의 접근은 접근 권한이 부여된 자에 대해서만 허용하는 조치 △영상정보 처리에 대한 의료기관 내부 관리계획을 수립하고 시행하며 그 이행 상황을 점검하는 조치 △저장장치를 접근이 제한된 구획된 장소에 보관하거나 보관시설에 대한 잠금장치 또는 훼손 방지 장치를 구비하는 조치 등이다.
둘째, 영상정보의 열람 또는 제공(이하 ‘열람 등’)을 요청하는 자는 정보주체 모두에 대하여 받은 열람요청서를 의료기관의 장에게 제출해야 한다. 의료기관의 장은 영상정보의 열람 및 제공 요청을 받으면 관계서류나 증표를 통해 요청자 본인 여부를 확인한 후 요청한 날부터 10일 이내에 서면으로 열람 방법을 통지하고 이에 따라 열람 등을 제공해야 한다. 다만, △보관기간이 지나 영상정보를 파기한 경우 △증명서류를 제시하지 못한 경우 △정보주체 모두의 동의를 받지 못하는 경 우 △그 밖의 정당한 사유가 있다고 보건복지부 장관이 인정하는 경우에는 의료기관의 장은 열람을 거부할 수 있으며, 요청을 받은 날부터 10일 이내에 서면으로 거부 사유를 통지해야 한다. 열람 등을 제공한 경우에는 요청자의 성명 및 연락처, 파일의 명칭 및 내용, 목적, 거부한 경우 구체적 사유 등이 포함된 영상정보 열람대장을 작성하고 3년 동안 보관해야 한다. 의료기관의 개설자는 실비의 범위에서 의료기관의 장이 정하는 바에 따라 열람 등을 요청한 자에게 비용을 청구할 수 있다.
셋째, 의료기관의 장은 촬영된 영상정보를 30일 이상 보관해야 하며, 30일 이상 보관하고 있는 영상정보는 제34조의7에 따른 내부 관리 계획에서 정한 주기에 따라 정기적으로 삭제해야 한다. 다만 열람 등을 요청받은 경우 또는 요청 예정을 사유로 보관의 연장을 요청하는 경우에는 보관기간 이 지나도 삭제해서는 안되며, 해당 사유가 종료될 때까지 보관해야 한다. 연장을 요구한 기관이나 사람은 업무 절차 준비 및 진행 예정을 증명할 수 있는 서류를 의료기관의 장에게 제출해야 한다.
▲영상정보 열람,제공 신청서 및 열람,제공,연장 동의서[자료=각 기업 제공]
의료정보 관계자, “열람 동의에 관한 의료진의 범위 좀 더 명확해야”
한기태 대한병원정보협회 회장은 “시행규칙 일부개정령안에는 정보주체 모두에 대해 받은 열람동의서를 첨부해야 한다고 규정돼 있다. 의료진이 동의하지 않으면 열람 및 제공이 불가능하기 때문에 제도가 실용성이 있으려면 의료진의 동의가 관건”이라고 말했다.
또한, “수술에는 다수의 의료진이 참여하기 때문에 모두에게 동의서를 받기가 쉽지 않고, 병원정보 시스템에 수술실 CCTV 관련 정보를 관리하는 프로그램이 필요하지만 동의하는 의료진 수에 따라 수기로 처리하는 방법을 사용할 수도 있을 것”이라며, 열람 동의에 관한 의료진의 범위가 좀 더 정확해야 할 것이라고 조언했다.
“현재는 법 시행을 앞두고 CCTV를 설치하고 솔루션을 도입하는 것 뿐만 아니라, 각 병원에서 관련 업무 분장을 위해 프로세스 분석을 통한 부서별 역할 및 담당자 결정과 각 장비·장소 등을 고민하는 시기”라며, 법 시행 전까지 설치 및 운용과 관련한 리허설뿐만 아니라, 서버 및 저장장치에 대한 안정성 확보조치에 대한 점검이 필요하다고 덧붙였다.
보안업계, “보안 취약한 저가 제품 사용 방지 위한 보조금 증액 필요”
보안업계 관계자들은 수술실 CCTV 설치 의무화 시행에는 보안 이슈가 가장 중요함에도 불구하고 정부의 예산지원이 턱없이 부족해 법이 성공적으로 시행되기 위한 준비에 어려움을 겪고 있다고 봤다.
이어 “의료기관 중에는 예산 부족 및 관리 비용 부담 등을 이유로 설치를 미루거나, 별다른 조치 없이 CCTV 설치 자체에만 의의를 두는 곳들도 있다”고 전했다. 또 다른 관계자는 “저가로 공급되는 제품은 보안에 더욱 취약하기 때문에 의료기관의 부담을 낮출 수 있는 현실적인 보조금 예산 책정이 필요하다”고 말했다.
성공적인 제도정착을 위해서는 더욱 명확한 지침과 설치 제품 관련 가이드라인 마련을 통해 혼선을 방지해야 하고, 법 준수 여부를 확인하기 위한 지속적인 모니터링과 보안인증에 대한 규정 수립이 필요하다는 의견도 보였다.
▲수술실 CCTV 설치 의무화 영상보안 조항 관련 설문 결과[자료=보안뉴스 정리]
수술실 CCTV 설치 의무화의 핵심 ‘영상보안’ 조항에 대한 생각은?
본지는 ‘수술실 CCTV 설치 의무화’의 영상보안 내용과 관련해 보안업계와 수요자들이 어떤 의견을 가지고 있는지 알아보고자 온라인 회원을 대상으로 설문조사를 진행했다. 설문조사는 7월 11일부터 17일까지 6일간 진행됐으며 총 897명이 참여했다.
먼저, ‘의료법 시행규칙 개정안에 따르면 영상정보는 30일 이상 보관해야 한다. 30일 이상의 영상 정보 보관 기간이 적정하다고 생각하는가’라는 질문에 약 56.9%가 ‘적정하다’고 응답했으며, 41.1%는 ‘적정하지 않다’고 응답했다.
‘CCTV 영상보관 기간으로 어느 정도가 적정하다고 생각하는가’라는 질문에는 ‘6개월 이상~1년 미만’이 31.1%로 가장 많았다, 이어, ‘1년 이상~3년 미만’이 23.1%, ‘3년 이상’이 21.4%, ‘1개월~6개월 미만’이 16.7%, ‘30일 미만’이 7% 순으로 나타났다.
이어 의료법 시행규칙 일부개정령(안)에 규정된 수술실 내 촬영거부 사유 6가지와 관련해 물어봤다. 그리고 75% 이상이 총 6가지 사유 중 5가지 사유에 대해 ‘촬영 거부사유로 적정하지 않다’를 선택해, 의료법 시행규칙 일부개정령(안)에서 규정한 촬영 거부사유 대부분에 대해 적절하지 않다고 생각하는 것을 알 수 있었다.
각각 살펴보면 첫 번째 촬영거부 사유인 ‘응급의료에 관한 법률 제2호제1호에 따라 응급환자를 수술하는 경우’는 81.3%가 ‘촬영거부 사유가 될 수 없다’고 응답했다.
다음으로 ‘생명에 위협이 되거나 신체기능의 장애를 초래하는 질환을 가진 경우로서, 보건복지부 장관이 정하는 경우에 해당하는 환자를 수술하는 경우’의 사유 역시 81.3%가 ‘촬영거부 사유가 될 수 없다’고 응답했다.
세 번째 사유인 ‘상급종합병원의 지정 및 평가에 관한 규칙 제2조에 따른 상급종합병원의 지정기준에서 정하는 전문진료질병군에 해당하는 수술을 하는 경우’는 87.7%,가 ‘촬영거부 사유가 될 수 없다’고 응답했다.
네 번째 사유로 규정된 ‘전공의의 수련환경 개선 및 지위 향상을 위한 법률 제2조제3호에 따른 지도전문의가 전공의의 수련을 현저히 저해할 우려가 있다고 판단하는 경우’에 대해서는 87%가 ‘촬영거부 사유가 될 수 없다’고 봤다.
다섯 번째로 ‘수술을 시행하기 직전 등 촬영이 기술적으로 어려운 시점에서 환자 또는 환자의 보호자가 촬영을 요청하는 경우’는 75.6%가 촬영거부 사유가 될 수 없다고 응답했다.
마지막 촬영거부 사유로 규정된 ‘천재지변, 통신 장애, 사이버 공격 기타 불가항력적 사유로 인해 촬영이 불가능한 경우’에 대해서는 51.9%가 촬영거부 사유가 될 수 없다고 응답했다.
한편, ‘수술실 CCTV 촬영 시 함께 진행될 수 있는 녹음 기능의 필요성에 대해서 어떻게 생각하는가’라는 질문에는 ‘의료진 동의 없이 바로 녹음돼야 한다’라는 응답이 59.3%로 가장 많았으며, ‘의료진 동의 하에 녹음이 필요하다’라는 응답이 31.1%, ‘굳이 녹음이 필요 없다고 생각한다’라는 응답이 7%, ‘잘 모르겠다’와 ‘응답 없음’이 각각 1.3%를 차지했다.
▲수술실 CCTV ‘영상보호·이용관리 솔루션’ 관련 설문 결과[자료=보안뉴스 정리]
수술실 CCTV 설치 의무화의 핵심 ‘영상보안’ 조항에 대한 생각은?
지난 3월에는 강남의 한 유명 성형외과 진료실과 탈의실 IP 카메라 영상이 유출돼 논란을 일으켰다. 아직 정확한 유출원인은 밝혀지지 않았지만 경찰은 해외에서 병원 IP 카메라를 해킹한 것으로 무게를 두고 수사를 진행하고 있다.
대한의사협회는 성명을 통해 “IP 카메라가 아닌 CCTV를 설치하더라도 영상의 도난·분실·유출 등의 위험을 막을 수는 없기 때문에 환자의 영상정보가 생성되는 순간부터 유출의 위험성이 상존 한다”며, 수술실 CCTV 설치가 의무화되면 이같은 사건이 발생할 가능성이 증가할 것이라고 우려 를 표했다.
수술실 내 CCTV는 신체·의료정보 등 민감정보가 포함돼 있기 때문에 유출될 경우 큰 피해가 발생하는 것이 사실이다. 따라서 수술실 CCTV 설치 의무화 제도 시행에 따른 위험성을 낮추기 위해서는 안전한 영상 반출 및 유출 방지가 무엇보다 중요하다. 이에 <시큐리티월드>는 ‘수술실 CCTV 영상보호·이용관리 솔루션’에 대해 어떤 의견들이 있는지 물어봤다.
‘수술실 CCTV 영상보호·이용관리 솔루션 도입 및 운용 시, 이를 얼마나 신뢰할 수 있을 것이라고 생각하는가?’라는 질문에는 76.9%가 ‘대체적으로 신뢰할 수 있다’고 답했으며, 완전히 신뢰할 수 있을 것이다(14.4%), 전혀 신뢰할 수 없을 것이다(5.0%), 잘 모르겠다(3.0%), 응답 없음(0.7%) 순으로 응답했다.
‘수술실 CCTV 영상 보호·이용관리 솔루션 도입 및 운용 시, 얼마나 실효성이 있을 것이라고 생각하는가?’라는 질문에는 ‘실효성이 매우 높을 것이다’라는 응답이 60.6%로 가장 많았다. ‘실효성이 있긴 하나 높지 않을 것이다’라는 응답이 32.4%로 뒤를 이었으며, ‘실효성이 없을 것이다’라는 응답은 4.7%였다.
수술실 CCTV와 관련해 도입될 수 있는 솔루션 기능을 크게 △반출 △영상촬영 △저장 등 세 가지로 나눴을 때 중요하게 생각하는 순서로는 ‘영상촬영-저장-반출’이 50%로 가장 많았으며, ‘영상 촬영-반출-저장’과 ‘저장-영상촬영-반출’이 각각 12%로 나타났다.
이어 수술실 CCTV 영상보호·이용관리 솔루션을 선택할 때의 기준으로는 39.5%가 ‘제품의 성능’이라고 응답했으며, ‘유지보수 및 서비스 등 맞춤형 지원’이 15.7%, ‘사내 인프라 및 설비와의 호환성’이 13.4%, 이외에 기술·장비·전문인력 보유 현황(9.4%), 다양한 구축사례 및 레퍼런스(8.7%), ‘기업 브랜드 인지도’·‘도입비용’(5%). 기타 및 응답없음 순이었다.
한편, 업계 관계자들은 수술실 CCTV 영상 보호·이용관리 솔루션을 도입할 때 병·의원이 반드시 고려해야 할 점으로 △폐쇄망으로 구축 △고도화된 영상보안기준 적용 △영상정보데이터의 보안(무결성, 기밀성, 동일성) △암호화 저장 가능 여부 △영상 위변조 방지 및 안전한 영상반출관리 시스템 구축 △무분별한 열람 및 외부 유출 방지하기 위한 접근통제 기능 △의료진의 법령지침 사항 숙지 및 이해 △녹화 관리시스템 관리주체간의 영상정보 관리 기준 수립 △AS 편의성 등을 꼽았다.
▲수술실 CCTV 영상보호·이용관리 솔루션[자료=각 기업 제공, 보안뉴스 정리]
주요 기업 수술실 CCTV 영상 보호·이용관리 솔루션
그렇다면 시장을 형성하고 있는 영상관리 솔루션들에는 어떤 것들이 있을까? 주요 기업 7곳의 ‘수술실 CCTV 영상 보호·이용관리 솔루션’을 통해 어떤 주요 기능이 있는지 살펴봤다(기업명 가나다 순).
마크애니의 ‘Content SAFER for Healthcare’는△병원환경 맞춤형 업무 프로세스(촬영동의-반출신청-접수-보안적용-승인-반출) 적용 △자동추척 마스킹 기능 △자체보유된 암호화 모듈로 국정원 인증을 받아 적용된 3단계 보안 △특허기술 적용으로 포렌식기법으로 유출자확인 가능 △현장방문 사전컨설팅으로 SI성 턴키사업 발주 가능 등의 기능을 보유하고 있다.
씨게이트 테크놀로지(이하 씨게이트)의 ‘SkyHawk AI 20TB’는 △최대 64대 카메라 프레임 손실 없는 영상 녹화 △32개의 AI스트림 추가 지원 △연간 최대 550TB 워크로드 레이트 △250만 시간 MTBF 지원 △제한 보증 5년/데이터복구 서비스는 3년간 1회 △인공지능을 통한 영상 분석 기능 포함된 NVR 시스템으로 상황에 맞는 워크 로드 자동 제어 등의 기능이 특징이다.
아이디스의 ‘수술실 세이프 솔루션’은 △국내 연구진 개발 △인증서 방식 기반으로 카메라와 녹화기 1:1 연결 지원해 보안성 제고 △영상 저장 데이터와 백업파일에 대한 암호화 처리 후 안전한 저장 및 추적관리 △전용 플레이어로만 저장 데이터 재생 가능 등을 강점으로 꼽을 수 있다.
아이서티의 ‘EDRON-VIEW & I-VPM v1.0’은 △무결성, 기밀성, 동일성 보안 암호화 기술과 기술에 대한 국가정보원(KCMVP)으로부터 1급 보안 암호화 인증 △초당 30,000프레임의 데이터 보안 암호화 처리 기술을 이용해 카메라로부터 전송되는 영상을 최초 저장 시부터 실시간으로 기밀성·무결성을 적용해 저장 △선별적 마스킹 기술 △영상 진위여부 쉽게 판단할 수 있도록 보안 암호화 기술 제공 등이 주요기능으로 꼽힌다.
우경정보기술의 ‘SECUWATCHER for OR’은 △사람 및 얼굴 감지(Human & Face Detection)로 자동 및 수동 객체추적기능 제공 △외부 반출 시 DRM 기술로 위변조 차단 및 △실시간 퀵-마스킹 △전용 플레이어를 이용한 영상접근제어 기능 △관리서버 통한 체계적인 영상반출 관리 △의료기관 내 기존 운영 시스템과 통합 운용 등의 특징을 가진다.
포커스에이치엔에스의 ‘의료영상정보관리시스템(MVS)’은 △영상반출 솔루션 녹화 및 관리기능 △사용자 편리 기준 대시보드 형태 구현 △영상 반출 뷰어 자동실행기능 △동영상 마스킹 기능 7개 항목 선택기능 부여로 편리성 적용 △영상 무결성 보장 및 위변조 알고리즘 적용 △이력관리 등 전체 운영 히스트리 자동 관리 시스템 등이 강점이다.
한화비전의 ‘XRP-4010B2 저장장치 및 XND-C6083RV 카메라’는 △서버 이중화 통한 안정적 장애 대응 가능 △강력한 내부 프로세스와 정책에 입각한 철저한 보안 관리 △서비스 전문 교육 수료한 엔지니어를 통한 신속하고 정확한 유지 보수 및 서비스 제공 등이 특징으로 꼽힌다.
▲마크애니 수술실 CCTV 영상반출 보안 솔루션 ‘콘텐츠 세이퍼 포 헬스케어’[자료=마크애니]
[수술실 CCTV 영상보호·이용관리 솔루션 –1] 마크애니
마크애니, 의료기관 전용 CCTV 영상반출 보안 솔루션 출시
국내 80여개 지자체 CCTV 관제센터 통해 검증된 영상관리 솔루션
오는 9월 25일부터 의료법 개정안 제38조의2, 일명 수술실 CCTV 의무화법이 시행된다. 의료법 개정안과 지난 3월 23일 발표된 의료법 시행규칙 일부 개정안에 따라 전신 및 수면마취 등 환자의 의식이 없는 상태에서 의료행위를 진행하는 병원은 수술실 내부 사각지대를 최소화할 수 있는 곳에 고해상도(HD)급 CCTV를 의무적으로 설치해야 한다.
의료법 개정안에서 IT 및 보안 관계자들이 주목해야 할 부분은 제34조의7, 영상정보의 안전성 확보 조치 부분이다. 병원은 CCTV 설치 시 저장장치와 네트워크를 분리해야 하고 영상 정보 침해사고 발생을 예방하고 대응할 수 있도록 영상 위변조 조치를 마련해야 한다.
영상정보를 안전하게 관리하기 위해 접근 권한 제한은 물론 영상을 암호화 처리도 해야 한다. 이에 의료기관은 수술실 내부에 CCTV 설치는 물론 CCTV 영상정보 관리 계획과 함께 수술실 CCTV 영상보안 방안 마련이 필요하다.
수술실 CCTV 의무화법 시범 운영부터 함께한 ‘마크애니’
마크애니는 2019년 수술실 CCTV를 시범 도입한 경기도의료원 산하 6개 병원에 CCTV 영상반출 보안 솔루션 ‘콘텐츠 세이퍼 포 씨씨티비(Content SAFER for CCTV)’를 구축했다. 이 솔루션은 이미 80여개 지자체 관제센터에 도입돼 보안성과 운영 안정성을 검증받았다. 마크애니는 당시 수술실 내 CCTV 영상 외부 반출 관리와 영상 오남용 예방을 위해 제품의 커스터마이징을 진행했다.
그리고 이와 같은 경험을 살려 의료법 개정안이 국회를 통과한 이후 2022년 4월부터 스쿼드 조직을 구성해 의료기관 영상반출 솔루션 구축 계획 수립을 시작했다. 경기도의료원에 구축한 노하우와 대학·종합·병의원 등 다양한 의료기관과의 집단 심층 면접(FGI : Focus Group Interview)을 통해 솔루션 방향성과 필요 기능에 대해 논의했다. 이를 바탕으로 지난해부터 본격적인 개발과 마케팅 전략 수립에 나섰다.
의료기관에 최적화한 ‘콘텐츠 세이퍼 포 헬스케어(Content SAFER for HealthCare)’
마크애니는 기존 지자체에서 성능을 검증받은 기술력과 더불어 수술실 환경에 맞춰 대응할 수 있도록 재구성한 경험과 DRM, 인공지능 등 기존에 보유한 원천기술을 통해 법안에 신속하게 대응할 수 있었다. 그리고 의료법 시행규칙 일부 개정령(안)의 개인정보보호 및 보안 요구 조건을 수용토록 병원 고객의 관점에서 제품을 설계했다.
특히, AI 활용과 대규모 CCTV 영상 보관 및 반출 작업 등 수술실 CCTV 기능적 부분을 고도화하기 위해 서버 점유율이 높은 델 테크놀로지스와 협업해 성공적인 구축을 위한 협업을 진행하고 있다. 또한, 전국의 모든 의료기관에 CCTV 영상 보안 솔루션을 원활하게 공급할 수 있도록 전국 영업망을 갖춘 케이티(KT)와 한국후지필름비즈니스이노베이션 등 협력사와의 전략적 제휴를 통해 고객 친화적 비즈니스모델을 완성했다.
마크애니의 수술실 전용 영상보안반출 솔루션 ‘콘텐츠 세이퍼 포 헬스케어(Content SAFER for HealthCare)’에서 주목할 기능은 환자와 의료진의 얼굴, 신체를 빠르게 모자이크할 수 있는 인공지능 기반 마스킹이다. 수술 촬영 영상에서 마스킹이 필요한 사람을 선택하면 전체 영상에서 자동으로 모자이크되는 딥러닝 기반 객체 검출 모델(Object Detection) 기술을 활용했다. 영상 내에서 인물이 움직이더라도 객체 추적 알고리즘(Object Tracking) 기술이 적용돼 모자이크가 유지되며, 섬세한 작업이 필요할 때는 수동으로 객체를 지정할 수 있다.
의료진의 기본권을 보장하는 영상 리뷰기능도 탑재했다. 수술에 참여한 의료진은 마스킹이 완료된 영상을 직접 확인하고 모자이크 처리가 제대로 되지 않았다고 판단되면 관리자에게 재작업을 요청할 수 있다. 이는 수술실에 참여한 의료진의 법적 반출승인 과정이 솔루션 내에서 지원돼 의료진과 영상 관리자의 결제 편의성과 관리 용이성을 제공한다.
유출 대응을 위한 기술도 적용했다. 반출 영상에는 디지털 포렌식 워터마킹 기술이 적용된다. 영상반출 요청자, 병원 등 영상반출에 필요한 정보를 눈에 보이지 않는 형태로 영상에 적용해 불법 유출 시 유출 경로와 근원지를 추적할 수 있도록 했다. 이 모든 과정은 화면 캡처 방지 기능이 적용돼 타사 솔루션과 차별화 되는 보안성 요소라 할 수 있겠다.
영상보안을 위한 안전장치도 갖췄다. 모자이크 처리와 의료진 리뷰가 완료된 영상은 반출 시 국정원에서 검증받은 암호화 모듈이 적용된다. 마크애니는 자체 보유하고 있는 암호화 모듈 기술로 국정원에 검증받은 영상보안 반출솔루션 회사이며, 솔루션에 적용된 특허기술만 2개로 독보적인 기술력을 갖추고 있다.
수술실 CCTV 반출 영상 전용 플레이어 외에는 영상을 확인할 수 없으며, 해당 영상은 영상반출을 요청한 환자와 보호자 또는 유관기관에만 영상 재생 권한을 부여해 열람할 수 있도록 했다. 또한, 영상반출의 3단계인 개인정보 비식별화·워터마크를 통한 유출추적·보안 고도화를 위한 암호화 적용과 반출 후 30일 이후 자동폐기 기능이 모두 적용돼 의료기관뿐만 아니라 환자 및 보호자에게도 안심과 편의를 제공하도록 최적화했다.
[수술실 CCTV 영상보호·이용관리 솔루션 –2] 씨게이트
9월 25일부터 CCTV 설치 의무화되는 수술실, 최적의 솔루션은?
수술실, 데이터 생성 규모에 따른 최적의 시스템과 스토리지 필요해
오는 9월 25일부터 환자의 의식이 없는 상태에서 수술을 시행하는 의료기관은 의무적으로 수술실 내부에 CCTV를 설치해야 한다. 수술실 내부에서 발생하는 불법적인 의료 행위를 방지하고 의료 분쟁 발생 시 증거를 확보하기 어려운 환자 및 보호자를 위한 의료법(제38조의2)이 본격 시행되기 때문이다. 그에 따라 수술실이 있는 의료 기관들은 새롭게 CCTV를 마련하기 위해 관련 제품을 살펴보고 있을텐데 중요한 것은 CCTV만이 아니다. 수술실 CCTV로 촬영한 영상은 의료 기관 측에서 의무적으로 30일 이상 보관해야 하기 때문에 데이터 저장장치(스토리지) 역시 중요하다. 보통 장기간 CCTV 영상을 보관하는 스토리지로는 HDD(하드 디스크 드라이브)가 사용되는데 안전성을 고려한다면 영상 데이터 기록용으로 최적화된 HDD를 선택하는 것이 좋다.
CCTV 환경에 최적화된 ‘스카이호크 AI’ HDD
▲씨게이트 스카이호크 AI[자료=씨게이트]
씨게이트(Seagate)의 ‘스카이호크 AI(SkyHawk AI)’는 영상 녹화 환경에 최적화된 ‘이미지퍼펙트 AI(ImagePerfect AI)’ 펌웨어가 적용돼 24시간 365일 연속으로 CCTV 영상을 기록하는 환경에서도 안전하게 데이터를 보관할 수 있다. CCTV 영상에서 데이터 오류를 줄이고 다중 녹화 시 프레임 손실을 방지하는 내부 알고리즘도 적용됐다.
또한, 인공지능으로 영상을 분석하는 기능이 포함된 NVR(네트워크 비디오 레코더) 시스템에 연결된 경우에는 자동으로 상황에 맞게 데이터 쓰기 및 읽기 워크 로드(일정 시간 시스템이 처리해야 하는 작업량)를 제어한다. 데이터 저장 용량에 따라 8TB·10TB·12TB·16TB·18TB·20TB 등 여섯 가지 모델에서 선택해 사용하면 된다. 또, 수술실이 많지 않은 1, 2차 의료기관은 스카이호크 AI와 연계된 NVR 시스템을 구성하면 장기간 CCTV 영상을 보관하고 관리하기에 충분한 환경을 구축할 수 있다.
다수의 CCTV 운용에도 문제없는 ‘엑소스 E 2U12’·‘엑소스 E 5U84’
한편, 대학 병원처럼 규모가 큰 3차 의료 기관은 수술실이 여러 곳 존재하고 다른 장소에도 다수의 CCTV를 구비해 운용하는 것이 일반적이다. 그로 인해 매일 녹화하는 영상 데이터 용량이 큰데, 이를 통해 생성된 데이터를 안전하게 보관하기 위해서는 규모가 큰 스토리지를 구성할 필요가 있다.
씨게이트의 ‘엑소스 E 2U12(Exos E 2U12)’는 최대 12개의 HDD를 장착해 사용하는 JBOD 스토리지(다수의 디스크를 하나의 디스크처럼 구성해 활용하는 스토리지)이다. 최대 264TB에 달하는 용량을 CCTV 영상 데이터 저장 용도로 운용할 수 있다. 더 방대한 규모의 영상 데이터를 저장해야 하는 경우에는 최대 84개의 HDD를 장착할 수 있는 ‘엑소스 E 5U84’를 선택하면 되는데, 이 경우에는 약 1.8PB에 달하는 방대한 용량을 활용할 수 있다. 이들 제품군은 비디오 보안 감시 외에도 백업·복구, 빅데이터 분석, 고성능 컴퓨팅 등 높은 내구성과 안전성을 요구하는 데이터 센터와 서버 등에 적합한 엔터프라이즈급 스토리지 시스템이기도 하다.
‘엑소스 E 2U12’와 ‘엑소스 E 5U84’는 각각 2U 규격 랙과 5U 규격 랙에 설치할 수 있으며 최대 대역폭 12Gb/s(초당 기가비트)인 SAS 인터페이스로 데이터를 전송한다. 데이터 처리량은 단일 컨트롤러 적용 시 14.4GB/s(초당 기가바이트)이고 듀얼 컨트롤러 적용 시 28.8GB/s로 CCTV 수백대로 촬영한 영상 데이터도 큰 무리 없이 실시간으로 저장할 수 있다.
▲씨게이트 엑소스 E 2U12와 5U84[자료=씨게이트]
CCTV로 보장되는 환자와 의료인의 권리
CCTV는 설치하는 것도 중요하지만 그보다 더 중요한 것은 촬영한 영상 데이터를 장기간 안전하게 보존하는 것이다. 특히 수술실에 설치되는 CCTV는 환자의 생명과 권리를 보호하기 위한 수단으로써 마련되는 것이기 때문에 영상 데이터 관리는 소홀하게 이뤄져서는 안 된다. 또한, 수술실 CCTV 영상은 의료인이 수술 과정에서 잘못을 저지르지 않은 경우, 결백을 밝히는 증거 자료가 될 수도 있어 의료 기관 측에도 굉장히 중요하다.
CCTV와 함께 영상 데이터 보관에 최적화된 스토리지를 갖춘다면 언젠가 의료 분쟁이 발생하더라도 빠르게 문제를 해결할 수 있기 때문에 새로운 CCTV를 준비하고 있거나 계획 중인 의료기관 관계자라면 이러한 부분을 충분히 고려해 시스템을 구축할 필요가 있다.
▲IDIS 수술실 세이프 솔루션 적용 제품[자료=아이디스]
[수술실 CCTV 영상보호·이용관리 솔루션 –3] 아이디스
CCTV 영상 데이터 보안·편리함 모두 잡았다
아이디스, ‘수술실 세이프 솔루션’ 출시
중국 SoC를 사용하지 않고 국내에서 직접 개발, 생산해 더욱 안전한 보안을 자랑하는 토탈 영상보안 솔루션 기업 아이디스가 ‘수술실 세이프 솔루션’을 출시했다. 이 솔루션은 사각지대 없이 360도 촬영이 가능한 CCTV 카메라 및 딥러닝 엔진(IDLE 4.0) 기반의 서버로 구성돼 있다. 또, 장치 간 1대 1 상호 인증을 통한 데이터 전송, 지정 물체를 추적해 자동으로 모자이크하는 기능 등을 통해 의료진과 환자의 개인정보보호 역할을 수행한다.
국내 자체 개발·생산 제품으로 해킹 우려 적어
최근 서울의 한 성형외과 수술실 영상 유출 사건에 사용된 성형외과의 중국산 IP 카메라는 인터넷에서 해킹 방법이 널리 공유되고 있을 정도로 보안에 취약했다. 하지만 국가대표 영상보안 기업인 아이디스의 제품은 국내에서 직접 자체 개발, 생산한 제품으로 국내외 시장에서 기능적인 부분뿐만 아니라 안정성과 보안성까지도 인정받고 있다. 특히, 그 어느 영상정보보다 민감해 더 안전하게 보호·관리할 수 있어야 하는 ‘수술실 세이프 솔루션’은 Made in Korea라는 이름에 걸맞게 직접 개발, 생산한 제품들로 구성돼 CCTV 영상 유출 위험을 원천 차단한다.
아이디스가 직접 개발한 다이렉트 아이피(DirectIP2.0)는 보안성은 높이고, 하드웨어의 활용성은 최대로 끌어올린 아이디스 전용 프로토콜이다. 제품 간 인증서 기반의 상호인증을 통해서만 카메라와 녹화기가 1대 1로 연결되기에 중간에 데이터를 탈취하거나, 가동 중인 카메라에 대한 이중 연결이 불가해 외부로의 영상 탈취 경로를 원천 봉쇄한다.
수술실 특화 CCTV 카메라인 피쉬아이 카메라는 한 대의 카메라 설치만으로 수술실 전체를 VR 보듯이 한눈에 볼 수 있어 사각지대를 최소화할 수 있다. 현장에 있는 것처럼 수술실 전체 상황을 쉽게 파악할 수 있으며, 마치 여러 카메라로 다른 영역들을 모니터링하듯 다양한 배열로 나눠 영상을 분석할 수 있다.
모든 아이디스 녹화기의 데이터베이스는 독자 특허 보안 기술인 아이뱅크(iBANK)가 적용돼 외부 프로그램으로는 녹화 데이터를 확인할 수 없도록 설계했다. 또한, 체인드 핑거 프린트 방식으로 모든 영상 데이터 프레임에 지문과 같은 고유한 식별 데이터를 남기고, 이 데이터들이 체인과 같이 서로 연결돼 있어 하나의 고리라도 이상이 생겼을 경우 영상 탈취 및 위변조 여부를 바로 확인할 수 있다.
녹화된 영상은 무분별하게 반출되지 않도록 영상 반출 시스템을 제공한다. 실무자와 관리자 간 반출을 신청하고 승인받는 시스템으로, 반출되는 영상은 암호화돼 권한 없는 사용자는 열람이 불가하다. 반출되는 모든 영상은 간단한 드래그 한 번에 지정된 물체를 자동 추적하는 모자이크 처리 기능을 지원하며 반출 영상 기간 제한 설정, 영상 사용내역 기록 등을 관리하는 영상 반출 서비스를 운영할 수 있다.
▲IDIS 수술실 세이프 솔루션 적용 예시[자료=아이디스]
최대 8배 빠른 영상 분석 가능한 ‘IDLE 4.0’ 탑재
아이디스 딥 러닝 엔진 (IDLE 4.0)으로 현장 상황을 즉시 인지해 효율적인 영상 분석이 가능하다는 점도 주목할 만하다. IDLE 4.0은 하나의 분석장치에서 최대 64채널의 영상을 동시에 분석할 수 있어 숙련된 모니터링 요원 그 이상의 역할을 수행한다.
딥러닝 기법으로 최대 64개의 움직이는 물체를 추적할 수 있으며, 지정한 영역을 모자이크하거나 반전 모자이크 역시 가능하다. 이를 통해 환자와 의료진 모두 주요 개인정보 중 하나인 얼굴 정보를 간편한 조작 한 번으로 모자이크해 유출을 방지할 수 있다.
황병국 아이디스 국내사업본부장은 “자체 개발 풀 라인업으로 자사 솔루션에 대한 수요가 늘어나고 있는 추세에 맞추어 ‘아이디스 딥 러닝 엔진(IDLE) 4.0’ 기술력을 토대로 의료법 개정화에 대한 안전성을 담보 받을 수 있도록 기여할 계획이다”라고 말했다.
[윤서정 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
