급격한 IT 기술의 발달 및 환경의 변화로 새로운 보안 위협이 나타나고 있다. 공격자들은 상대적으로 사이버 범죄 공격의 예방과 방어에 미흡한 의료기관을 대상으로 환자의 민감한 개인정보 유출 공격을 시도하고 있다. 이에 정부는 2016년부터 상급종합병원을 대상으로 ISMS 인증을 의무화하여 의료보안을 강화하고 있지만, 광범위한 보안체계 및 인증은 중소형 의료기관이 수행하기에 한계점이 존재한다. 따라서 본 연구는 중소형 의료기관을 대상으로 관리적, 물리적, 사이버 영역으로 구분하여 의료기관의 개인정보 보안실태 파악 및 개선방안을 도출하고자 하였다. 본 연구의 분석 결과, 중소형 의료기관의 개선방안으로 의료보안 전문인력 투입, 의료보안 교육 및 보안 관리에 대한 지속적인 홍보, 재난·재해에 대비할 수 있는 보호 대책 마련, 중소형 기관에 적합하지 않은 의료정보관리 규정 폐지 및 축소, 정부 차원에서 경제적 지원 및 관리·감독이 필요한 것으로 나타났다.
급격한 IT 기술의 발달 및 환경의 변화로 새로운 보안 위협이 나타나고 있다. 공격자들은 상대적으로 사이버 범죄 공격의 예방과 방어에 미흡한 의료기관을 대상으로 환자의 민감한 개인정보 유출 공격을 시도하고 있다. 이에 정부는 2016년부터 상급종합병원을 대상으로 ISMS 인증을 의무화하여 의료보안을 강화하고 있지만, 광범위한 보안체계 및 인증은 중소형 의료기관이 수행하기에 한계점이 존재한다. 따라서 본 연구는 중소형 의료기관을 대상으로 관리적, 물리적, 사이버 영역으로 구분하여 의료기관의 개인정보 보안실태 파악 및 개선방안을 도출하고자 하였다. 본 연구의 분석 결과, 중소형 의료기관의 개선방안으로 의료보안 전문인력 투입, 의료보안 교육 및 보안 관리에 대한 지속적인 홍보, 재난·재해에 대비할 수 있는 보호 대책 마련, 중소형 기관에 적합하지 않은 의료정보관리 규정 폐지 및 축소, 정부 차원에서 경제적 지원 및 관리·감독이 필요한 것으로 나타났다.
Rapid developments of IT technology has been creating new security threats. There have been more attacks to get patients' sensitive personal information, targeting medical institutions that are relatively insufficient to prevent and defend against such attacks. Although the government has required s...
Rapid developments of IT technology has been creating new security threats. There have been more attacks to get patients' sensitive personal information, targeting medical institutions that are relatively insufficient to prevent and defend against such attacks. Although the government has required senior general hospitals to get the ISMS certification since 2016, such a requirement has been burdensome for small and medium-sized medical institutions. Therefore, this study was designed to draw measures to identify and improve the privacy status of the medical institution by dividing it into management, physical and cyber areas for small and medium-sized medical institutions. The results of this study showed that the government should provide financial support and managerial supervision for the improvement of personal information protection of small and medium-sized medical institutions. They also suggested that the government should also provide medical security specialists, continuous medical security education, disaster planning, reduction of medical information management regulations not suitable for small and medium sized institutions.
Rapid developments of IT technology has been creating new security threats. There have been more attacks to get patients' sensitive personal information, targeting medical institutions that are relatively insufficient to prevent and defend against such attacks. Although the government has required senior general hospitals to get the ISMS certification since 2016, such a requirement has been burdensome for small and medium-sized medical institutions. Therefore, this study was designed to draw measures to identify and improve the privacy status of the medical institution by dividing it into management, physical and cyber areas for small and medium-sized medical institutions. The results of this study showed that the government should provide financial support and managerial supervision for the improvement of personal information protection of small and medium-sized medical institutions. They also suggested that the government should also provide medical security specialists, continuous medical security education, disaster planning, reduction of medical information management regulations not suitable for small and medium sized institutions.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이처럼 급변하는 의료 환경에서 의료기관 규모에 따른 특성을 고려하여 의료현실에 적합한 실질적 보안 대응이 필요하다. 따라서 본 연구는 개인정보를 중심으로 중소형 의료기관의 특성을 고려하여 의료현실에 적합한 실질적인 보안대책 개선방안을 탐색하고자 한다.
본 논문에서 통계청에서 중소형 의료기관의 수를 살펴본 결과, 중소 병원은 병원 산업에서 많은 수를 차지하고 있다. 또한, 지역 주민들에게 편리한 의료이용을 가져다줌과 동시에 간접비용을 경감시켜준다.
본 논문에서는 개인의료정보에 대한 개념을 진료를 통해 얻은 환자에 관한 모든 기록으로 정의하였다. 의료정보는 일반적인 개인정보보다 민감한 정보를 포함하며 다양한 내용의 조합을 통해 더 큰 피해로 이어질 수 있다.
중소형 의료기관을 대상으로 한 개인정보 보안 실태 및 개선방안에 관한 선행연구는 찾아볼 수 없었고, 주로 대형 의료기관으로 한 보안 관리 실태와 관리방안을 제시한 논문이 대부분이었다. 본 논문은 중소형 의료기관에 대한 특성과 개인의료 정보에 대한 개념을 선행연구로 참고하였으며, 이를 바탕으로 중소형 의료기관 특성을 반영한 개인정보 개선방안을 제시하고자 한다.
본 논문은 중소형 의료기관의 의사, 간호사 등 관련 종사자에 대한 인터뷰를 통하여 중소형 의료기관의 개인정보에 대한 인식의 정도를 파악하고자 하였다. 인터뷰 문항의 내용으로는 개인정보에 대한 인식, 개인정보 유출 피해 여부, 병원 내 보안부서 유무를 비롯하여 보안 관리현황을 파악하기 위하여 관리적·물리적·사이버 보안 관리 영역을 나누어 인터뷰를 진행하였다.
본 연구는 중소형 의료기관의 개인정보 보안실태를 파악하고 제안사항을 분석하여 중소형 의료기관에 적합한 개선방안을 도출하였다.
본 연구는 중소형 의료기관의 개인정보보호 방안 제시를 위해 의료기관에 대한 이해를 바탕으로 의료기관 보안환경을 분석한 뒤 중소형 의료 환경에 적합한 개인정보 보안 개선방안을 도출하고자 한다. 전체적인 연구모형은 (그림1)과 같다.
지역적 차이의 의견을 반영 하기 위하여 서울, 경기지역을 대상으로 나누어 진행하였으며 300병상 이하의 규모인 중소형 병원을 선정하였다. 의사, 간호사, 행정직 의료기관 종사자를 모두 포함하여 중소형 의료기관에서의 보안 관리현황을 파악하고 중소형 의료기관에 적합한 실질적인 보안개선 방안을 찾고자 하였다.
보안 관리현황은 관리적, 물리적, 사이버 영역으로 구분하여 면담을 진행하였다. 이를 바탕으로 현재 중소형 의료기관에서 개인정보 보안 관리의 문제점과 효과적인 개선방안을 알아보고자 하였다.
이와 같은 문제를 해결하기 위하여 2018년도 스마트 의료보안 가이드라인이 나왔지만 광범위한 체계는 중소형 의료기관에 적용하기 한계가 있다. 이에 본 논문은 중소형 의료기관에 적합한 보안 개선방안을 탐색하고자 한다.
특히 대형병원에 비교하면 중소형 의료기관은 경제적인 부담으로 보안 관리를 실행하기에 한계점이 존재한다. 이에 본 연구는 중소형 의료기관을 대상으로 개인정보 보안실태를 파악하고 실질적이고 경제적인 보안 개선방안을 제시하는 데 목적을 두고 있다.
앞서 중소형 의료기관의 개인정보 보안실태 파악을 통하여 중소형 의료기관은 전담인력 부족 및 경제적 부담으로 보안 관리를 실행하기 한계점이 있는 것을 확인할 수 있었다. 이에 본 연구는 중소형 의료기관을 대상으로 관리적, 물리적, 사이버 영역으로 구분하여 중소형 의료기관에 적합한 개인정보 보안 관리 제안사항에 관한 의견을 도출하고자 한다.
제안 방법
인터뷰 문항으로는 개인정보에 대한 인식의 정도, 의료기관에서 개인정보 유출 피해 경험, 근무하는 의료기관에서 보안 관리현황을 조사하였다. 보안 관리현황은 관리적, 물리적, 사이버 영역으로 구분하여 면담을 진행하였다. 이를 바탕으로 현재 중소형 의료기관에서 개인정보 보안 관리의 문제점과 효과적인 개선방안을 알아보고자 하였다.
연구방법으로는 문헌연구와 심층 인터뷰를 택하였다. 선행연구를 통하여 의료기관의 특성을 파악 후 보건복지부가 발행한 의료기관을 위한 정보 보호 안내서(2016)를 참고하여 심층 인터뷰 문항을 작성하였다. 연구대상은 24개의(300병상 이하) 중소형 병원으로, 총 34명을 심층 인터뷰하였으며, 다양한 의견을 수집하고자 13개의 분과를 대상으로 인터뷰를 진행하였다.
연구방법으로는 문헌연구와 심층 인터뷰를 택하였다. 선행연구를 통하여 의료기관의 특성을 파악 후 보건복지부가 발행한 의료기관을 위한 정보 보호 안내서(2016)를 참고하여 심층 인터뷰 문항을 작성하였다.
연구대상은 24개의(300병상 이하) 중소형 병원으로, 총 34명을 심층 인터뷰하였으며, 다양한 의견을 수집하고자 13개의 분과를 대상으로 인터뷰를 진행하였다. 인터뷰 문항으로는 개인정보에 대한 인식의 정도, 의료기관에서 개인정보 유출 피해 경험, 근무하는 의료기관에서 보안 관리현황을 조사하였다. 보안 관리현황은 관리적, 물리적, 사이버 영역으로 구분하여 면담을 진행하였다.
인터뷰 결과, 병원 종사자들 대부분이 개인정보보호의 필요성에 대해 인식하고 있었으나 전담인력 부족 및 경제적인 부담으로 인하여 기본적인 보안 관리조차 실행되지 않고 있었다. 인터뷰 문항으로는 중소형 의료 기관 개인정보 보안실태를 파악하고자 관리적, 물리적, 사이버 영역으로 구분하여 보안실태를 파악하고자 하였다.
인터뷰 문항의 내용으로는 개인정보에 대한 인식, 개인정보 유출 피해 여부, 병원 내 보안부서 유무를 비롯하여 보안 관리현황을 파악하기 위하여 관리적·물리적·사이버 보안 관리 영역을 나누어 인터뷰를 진행하였다.
인터뷰는 의료보안에 대한 전반적 지식과 이해도를 가진 병원 관계자를 대상으로 1인당 1회씩 인터뷰를 진행하였다. 지역적 차이의 의견을 반영 하기 위하여 서울, 경기지역을 대상으로 나누어 진행하였으며 300병상 이하의 규모인 중소형 병원을 선정하였다.
중소형 의료기관 인터뷰를 통하여 관리적, 물리적, 사이버 분야별로 개인정보 보안실태를 파악하였다. 의료기관 대부분 개인정보보호의 중요성을 인식하였지만, 구체적인 보안 대처방안에 대해서는 인식하고 있지 못하였다.
대상 데이터
통계청(2019) 자료를 토대로 의료기관 현황을 살펴보면, 의원 30,532개소, 일반병원 1,370개소, 종합병원 341개소, 요양병원과 특수병원을 포함한 전문병원은 1,555개로 나타났다. 본 논문에서는 중소형 의료기관의 범위를 전체 33,798개소 의료기관 중 31,902개소(약 93.39%)를 차지하는 의원과 일반 병원을 대상으로 설정하였다. 다음은 중소형 의료기관의 특징을 살펴보고자 한다.
본 연구는 중소형 의료기관의 개인정보보호 방안 제시를 위해 24개의 중소형 의료기관 13개 분과를 대상으로 인터뷰를 진행하였다. 인터뷰 결과, 병원 종사자들 대부분이 개인정보보호의 필요성에 대해 인식하고 있었으나 전담인력 부족 및 경제적인 부담으로 인하여 기본적인 보안 관리조차 실행되지 않고 있었다.
선행연구를 통하여 의료기관의 특성을 파악 후 보건복지부가 발행한 의료기관을 위한 정보 보호 안내서(2016)를 참고하여 심층 인터뷰 문항을 작성하였다. 연구대상은 24개의(300병상 이하) 중소형 병원으로, 총 34명을 심층 인터뷰하였으며, 다양한 의견을 수집하고자 13개의 분과를 대상으로 인터뷰를 진행하였다. 인터뷰 문항으로는 개인정보에 대한 인식의 정도, 의료기관에서 개인정보 유출 피해 경험, 근무하는 의료기관에서 보안 관리현황을 조사하였다.
인터뷰 진행은 2019.07.25부터 2019.08.03.까지 진행하였다. 면담을 진행하기에 앞서 사전에 연구 참여자에게 인터뷰 항목에 대하여 공지하였다.
인터뷰는 의료보안에 대한 전반적 지식과 이해도를 가진 병원 관계자를 대상으로 1인당 1회씩 인터뷰를 진행하였다. 지역적 차이의 의견을 반영 하기 위하여 서울, 경기지역을 대상으로 나누어 진행하였으며 300병상 이하의 규모인 중소형 병원을 선정하였다. 의사, 간호사, 행정직 의료기관 종사자를 모두 포함하여 중소형 의료기관에서의 보안 관리현황을 파악하고 중소형 의료기관에 적합한 실질적인 보안개선 방안을 찾고자 하였다.
성능/효과
중소형 의료기관은 대형병원에 대비되는 개념으로서 보건의료체계와 제도상의 문제를 복합적으로 가지고 있으면서 정책적 지원이 필요한 의료기관으로 받아들여지고 있다(한기성, 2012 : 4). 본 논문에서 통계청에서 중소형 의료기관의 수를 살펴본 결과, 중소 병원은 병원 산업에서 많은 수를 차지하고 있다. 또한, 지역 주민들에게 편리한 의료이용을 가져다줌과 동시에 간접비용을 경감시켜준다.
본 연구는 중소형 의료기관의 개인정보보호 방안 제시를 위해 24개의 중소형 의료기관 13개 분과를 대상으로 인터뷰를 진행하였다. 인터뷰 결과, 병원 종사자들 대부분이 개인정보보호의 필요성에 대해 인식하고 있었으나 전담인력 부족 및 경제적인 부담으로 인하여 기본적인 보안 관리조차 실행되지 않고 있었다. 인터뷰 문항으로는 중소형 의료 기관 개인정보 보안실태를 파악하고자 관리적, 물리적, 사이버 영역으로 구분하여 보안실태를 파악하고자 하였다.
제안사항을 분석으로 중소형 의료기관에 적합한 개선방안을 도출하였다. 개선방안으로는 의료보안 교육 및 보안 관리에 대한 지속적인 홍보, 중소형 기관에 적합한 의료정보관리 규정 폐지 및 축소, 재난·재해에 대비할 수 있는 보호 대책 마련, 기술 보안 전문인력 투입이다.
각 영역에 대한 제안사항을 분석하였을 때, 무엇보다도 가장 중요한 것은 정부 차원에서 지속적인 관리와 경제적인 지원이다. 중소형 의료기관은 전담인력 부족 및 경제적 투자의 한계로 환자의 개인정보보호를 위한 사전예방 조치 및 보안대책 방안 수립에 미흡한 것으로 확인되었다.
후속연구
본 연구는 중소형 의료기관의 개인정보 보안실태 및 개선방안을 토대로 더 나은 중소형 의료기관의 보안환경 개선을 도모하는데 이바지할 수 있을 것으로 기대한다. 다만, 본 연구는 중소형 의료기관의 대상이 부분적이어서 연구결과를 일반화하기 어렵다. 이는 후속연구를 통해 연구의 한계점을 보완해야 할 것이다.
의료기관 종사자도 보안사고에 대응 가능한 실질적 교육을 통하여 사전예방 교육이 필요하며, 의료보안 분야에 대한 지속적인 관심과 홍보가 필요하다. 또한, 중소형 기관에 적합한 의료정보관리 규정 폐지 및 축소가 이뤄져야 할 것이다. 경제적 부담 및 전담 인력 부족으로 중소형 의료기관이 실행하기에 광범위한 보안 관리체계는 무리가 있기에 적합한 의료정보관리 규정 개선이 필요하다.
본 연구는 중소형 의료기관의 개인정보 보안실태 및 개선방안을 토대로 더 나은 중소형 의료기관의 보안환경 개선을 도모하는데 이바지할 수 있을 것으로 기대한다. 다만, 본 연구는 중소형 의료기관의 대상이 부분적이어서 연구결과를 일반화하기 어렵다.
우선 각종 위험으로부터 개인정보를 보호할 수 있는 물리적 보안 방안을 마련해야 할 것이다. 개인정보를 보관하는 장소와 장비에 대한 출입통제 노력을 강화하고, 시건장치 점검 등 물리적 보안 개선 활동이 선행돼야 한다고 보인다.
다만, 본 연구는 중소형 의료기관의 대상이 부분적이어서 연구결과를 일반화하기 어렵다. 이는 후속연구를 통해 연구의 한계점을 보완해야 할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
광범위한 보안체계 및 인증의 한계는?
공격자들은 상대적으로 사이버 범죄 공격의 예방과 방어에 미흡한 의료기관을 대상으로 환자의 민감한 개인정보 유출 공격을 시도하고 있다. 이에 정부는 2016년부터 상급종합병원을 대상으로 ISMS 인증을 의무화하여 의료보안을 강화하고 있지만, 광범위한 보안체계 및 인증은 중소형 의료기관이 수행하기에 한계점이 존재한다. 따라서 본 연구는 중소형 의료기관을 대상으로 관리적, 물리적, 사이버 영역으로 구분하여 의료기관의 개인정보 보안실태 파악 및 개선방안을 도출하고자 하였다.
새로운 보안 위협이 나타난 배경은?
급격한 IT 기술의 발달 및 환경의 변화로 새로운 보안 위협이 나타나고 있다. 공격자들은 상대적으로 사이버 범죄 공격의 예방과 방어에 미흡한 의료기관을 대상으로 환자의 민감한 개인정보 유출 공격을 시도하고 있다.
정부가 2016년부터 상급종합병원을 대상으로 ISMS 인증을 의무화하여 의료보안을 강화한 이유는?
급격한 IT 기술의 발달 및 환경의 변화로 새로운 보안 위협이 나타나고 있다. 공격자들은 상대적으로 사이버 범죄 공격의 예방과 방어에 미흡한 의료기관을 대상으로 환자의 민감한 개인정보 유출 공격을 시도하고 있다. 이에 정부는 2016년부터 상급종합병원을 대상으로 ISMS 인증을 의무화하여 의료보안을 강화하고 있지만, 광범위한 보안체계 및 인증은 중소형 의료기관이 수행하기에 한계점이 존재한다.
참고문헌 (30)
강지원, "병원 간호사의 의료정보보안 측정도구 개발," 고려대학교 대학원 석사학위논문, 2018.
김강한, "개인건강정보보호에 관한 헌법적 고찰: 공공영역에서의 개인건강정보보호를 중심으로," 아주법학 제 10권 제 2호, pp. 1-40, 2016.
김동수, 김민수, "u-Health 환경에서의 정보보호 수준제고를 위한 보안 표준 개발," 대한산업공학회 제 2권, pp. 177-185, 2007.
김보경, 김수진, 김정덕, "의료산업에서의 정보보호를 위한 고려사항", 한국 IT 서비스학회 학술대회 논문집, pp. 299-303, 2016.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.