[헬스인·싸] 병원 보안·개인정보 보호, 환자 신뢰 지키는 두 축

[라포르시안] 디지털 헬스케어의 심장은 ‘데이터’이다. 전자의무기록(EMR)·모바일 앱·연구 데이터까지 병원 곳곳에서 생성·활용되는 데이터는 모두 개인의 가장 민감한 정보에 해당한다. 이러한 정보가 유출되면 단순한 불편을 넘어 개인의 사생활이 침해되고 사회적으로도 큰 파장을 불러올 수 있다.

특히 데이터 보호를 이야기할 때 빠지지 않고 언급되는 두 가지 핵심 개념이 있다. 바로 ‘보안’(Security)과 ‘개인정보 보호’(Privacy)이다. 비슷해 보이는 두 개념은 ‘무엇을 지키느냐’와 ‘누구를 바라보느냐’에서 뚜렷한 차이가 있다. 보안은 조직의 정보·시스템을 외부 공격이나 내부 실수로부터 지켜 ▲기밀성(Confidentiality) ▲무결성(Integrity) ▲가용성(Availability)을 보장하는 활동이다. 반면 개인정보 보호는 환자와 연구 참여자 등 정보 주체의 권리와 자기 결정권을 존중하며, 불필요한 침해를 막는 활동을 의미한다.

병원에서 보안의 목표는 분명하다. 데이터가 새지 않도록 기밀성을 지키고 변조되지 않도록 무결성을 보장하며, 필요할 때 언제든 접근할 수 있도록 가용성을 확보하는 것이다. 이를 위해 암호화, 접근통제, 침입 탐지(Intrusion Detection System·IDS)·차단(Intrusion Prevention System·IPS), 보안 관제 같은 여러 기술적 장치가 활용된다. 여기에 더해 취약점 점검, 재해 복구 체계(Disaster Recovery·DR), 보안 교육, 정책 수립 등 관리적 조치까지 병행함으로써 사고 발생 가능성을 줄인다.

특히 병원은 24시간 내내 진료·행정·연구가 동시에 돌아가기 때문에 단 한 번의 장애도 치명적일 수 있다. 최근 랜섬웨어 공격, 내부자 무단 열람, 시스템 장애가 잇따라 보도되는 이유가 바로 여기에 있다. 개인정보 보호는 단순한 기술적 안전을 넘어 “이 데이터의 주인은 누구인가”라는 본질적인 질문에서 출발한다.

환자의 동의 없이 불필요한 정보를 수집하거나 진료 목적을 벗어나 의료기록을 활용하는 것은 명백한 권리 침해다. 따라서 개인정보를 보호하는 것은 곧 개인정보를 최소한으로 수집하고 이용 목적을 명확히 고지하며 동의 절차를 거치는 것을 의미한다. 또한 가명 및 익명 처리, 열람·정정·삭제 요청 보장 등 법적 윤리적 기준을 철저히 준수하는 일이다.

이 때문에 의료기관은 개인정보 보호법뿐만 아니라 의료법, 생명윤리법, IRB(Institutional Review Board·기관생명윤리위원회)·DRB(Data Review Board·데이터심의위원회) 심의까지 까다로운 규제를 따라야 한다. 이처럼 환자의 민감한 정보를 여러 법제 속에서 겹겹이 관리하는 이유는 무엇보다 환자 권리를 최우선으로 보장하기 위해서다.

보안과 개인정보 보호는 따로 존재할 수 없다. 데이터를 아무리 안전하게 보관해도 환자가 본인 정보를 통제하지 못한다면 신뢰는 무너질 수밖에 없다. 반대로 환자의 권리를 존중하더라도 시스템 보안이 취약하다면 개인정보 유출을 막을 수 없다. 

이 둘의 관계를 설명할 때 자주 인용되는 비유가 바로 ‘스위스 치즈 모델’(Swiss Cheese Model)이다. 치즈 한 장은 하나의 방어막, 즉 보안과 개인정보 보호에 해당한다. 각 방어막에는 구멍, 즉 ‘취약점’이 존재한다. 여러 겹의 치즈를 포개면 구멍들이 겹치지 않는 한 사고는 막을 수 있다.

그러나 구멍들이 우연히 일직선으로 맞아떨어지면 결국 사고가 발생한다. 따라서 보안과 개인정보 보호는 서로를 보완하며 다층적 방어 체계를 이룰 때 진정한 힘을 발휘한다. 둘 중 어느 하나라도 소홀히 하면 치즈의 구멍은 커지고 결국 환자로부터 신뢰를 지켜낼 수 없다.

디지털 헬스케어 시대의 환자는 더 이상 단순한 진료 대상이 아니다. 데이터의 주인이자 권리의 주체다. 병원은 이를 보호할 책임이 있고, 그 책임은 기술적 보안(Security)과 인권적 가치(Privacy)를 동시에 지켜낼 때 비로소 환자의 신뢰로 이어진다.

따라서 의료기관의 정보보호 목표를 단순히 사고를 막는 데 둬서는 안 된다. 환자와 사회로부터 “이 병원은 내 데이터를 안전하게, 그리고 존중하며 다룬다”는 신뢰를 얻어야 한다. 결국 보안과 개인정보 보호가 함께 만들어 내는 이중 안전망이야말로 의료기관이 지켜야 할 가장 근본적인 경쟁력이자 책임이 아닐 수 없다.   

※ 외부 필진의 글은 본지의 편집방향과 다를 수 있습니다.