최근 디지털을 접목한 의료기기가 의료기관에 활발히 도입되고 있는 가운데, 환자의 개인정보를 지켜낼 수 있도록 기기를 도입한 병원이 자체 보안 시스템을 강화해야 한다는 지적이 나온다. 

5일 의료기기 업계에 따르면 정부가 디지털 치료기기, 인공지능(AI) 의료기기 등 혁신 의료기기에 대한 평가유예 및 비급여 시장 진입을 허가하면서 다양한 디지털 제품들이 의료기관으로 진입하고 있다. 지금까지 총 44개의 디지털 의료기기 제품이 혁신 의료기기로 인정받았으며, 이들 중 신의료기술평가를 거친 제품은 3~4년간 의료 현장에서 비급여로 사용된다. 

특히 휴대폰 어플리케이션을 통해 데이터를 입력하는 디지털 치료기기, 웨어러블(이동식) 의료기기의 활용이 늘어나는 추세다. 환자가 직접 혈당, 통증, 활력징후, 정신상태 등을 기록하면 진료 시 해당 데이터가 진단, 치료에 적용된다. AI 영상 진단기기도 보급되면서 병원 시스템 내부에 쌓이는 디지털 의료 데이터 양이 급증하고 있다.

문제는 환자의 민감한 의료 데이터를 안전하게 보호할 수 있는 장치나 체계가 미흡하다는 점이다. 지난 3일 윤주경 국민의힘 의원이 개인정보보호위원회에서 받은 2022년 개인정보보호 및 활용 조사 자료에 따르면, 표본조사를 통해 일부 상급종합병원을 확인해 본 결과 개인정보 전담 인력은 평균 0.86명에 그쳤다. 종합병원도 평균 0.2명에 불과했다. 

개인정보보호위원회가 올해 17개 종합병원의 개인정보 관리 실태를 조사한 결과에서는 2018년부터 2020년까지 총 16개 병원이 개인정보 관리 소홀로 과태료를 물고, 18만5271명의 환자 정보가 유출된 사실이 확인됐다.

의료기기를 통해 사이버 보안이 뚫릴 수 있다는 우려도 있다. 실제로 미국 의료기기 회사 메드트로닉에서는 심박동기를 포함한 심장 장치, 인슐린 펌프 등을 이용한 랜섬웨어 해킹 시도가 일어난 바 있다. 기기를 제어하는 시스템이 해킹된 사건으로, 해커가 제품의 작동을 정지시키거나 데이터를 바꿨다면 환자의 건강에 유해를 끼칠 수도 있던 상황이었다. 구글이 2019년 의료영상 AI 개발 프로젝트, 2020년 X선 데이터 축적 프로젝트를 진행하면서 무단으로 병원의 의료 데이터에 접근한 것도 논란을 불렀다. 

이에 일부 디지털 의료기기 업체는 사이버 보안 위험 상황을 방지하기 위해 제품과 연계되는 병원 보안 시스템을 주기적으로 업데이트 하는 서비스 등을 지원하고 있다. 

AI 의료기기 개발업체 관계자 A씨는 “병원마다 구축해놓은 보안 시스템의 수준이 달라 주기적인 관리가 필요하다”면서 “각 의료기관 인프라에 맞는 데이터베이스 암호화, 보안 업데이트 등을 시행한다”고 말했다.

또 다른 AI 의료기기 업체의 관계자 B씨는 “병원 내부 서버에서만 사용 가능하도록 클라우드 환경이 아닌 자체 설비 방식으로 운영을 지원한다. 병원의 전산팀이나 정보보안팀과 협력해 체계적 검증 절차를 거친 뒤 기기를 설치한다”며 “반기별로 예방 점검을 실시하고, 제품 구동을 위한 서버 점검 및 보안 서비스를 따로 제공하고 있다”고 전했다. 

전문가들은 의료기기 업체에 의존하기보다 병원 스스로 보안 시스템을 구축해 개인정보 보호를 강화해야 한다고 피력했다. 

사이버 보안 업체 관계자 C씨는 “미국, 유럽 등에서는 규제 강화를 통해 의료기관 뿐만 아니라 의료기기 업체들에게도 강력한 보안 시스템을 요구해왔다”며 “국내의 경우 빠른 기술 발전에 비해 보안은 매우 미흡하다. 너도나도 새로운 의료기기들을 도입하지만 제대로 보안 시스템을 갖춘 곳은 많지 않다. 취약한 보안 시스템이 해킹 당하면 막을 방도가 없다”고 지적했다.

이어 “AI 같은 소프웨어형 의료기기는 사용자인 의료기관의 보안 환경이 먼저 갖춰지는 것이 기본”이라며 “디지털 의료기기를 도입하는 병원의 보안 시스템 기준, 그리고 병원·업체 간 협력 체계에 대한 규제를 강화해야 한다”고 제언했다.

윤주경 의원도 “개인정보보호위원회는 대형병원이 일정 인원의 개인정보 전담 인력을 갖춰야 한다는 강제 조항 등을 만들어 의료기관이 환자의 민감한 건강정보 보호에 나서도록 해야 한다”고 주장했다.