"편안한 업무와 병원의 안전 사이에서 중심을 지키고 싶어요."

기준과 근거를 만들며                

“유해 사이트 차단 좀 풀어 주세요.” “USB로 파일 복사를 할 수 없을까요?” 직원들의 정보보안 관련 문의가 오늘만 10건째. 이택훈 주임은 전자결재 절차를 안내하고 예외 등록 처리를 진행했다. 
의료법에 따라 상급종합병원은 매년 ISMS 정보보호 관리체계 인증 심사를 받는다. 80여 가지의 인증 항목을 토대로 정보보호실의 한해 업무 내용이 정해진다. 이 주임은 정보보안 분야를 담당하면서 관리적으로 필요한 부분을 요구하고 이를 잘 수행하는지 확인하는 업무를 맡고 있다. 병원의 보안 정책은 계속 변경되기 때문에 그때마다 병원을 보호하기 위해 변경 근거를 찾아 문서화한다. 정답 없는 문제를 두고 정보보호실 실무자들의 고민과 토의는 끊이지 않는다.  

▲(왼쪽) 다크웹 관련 보안솔루션 업체와 회의하고 있는 이택훈 주임.

▲(오른쪽) 이택훈 주임이 직원 문의에 응대하고 있다. 

"병원의 목적을 떠올리면 보안이 최우선일 순 없어요. 이해 상충이 자주 발생하죠."
 

거절의 기술                   

이 주임은 컴퓨터공학을 전공하고 정보보안 업체에서 경력을 쌓은 뒤 2022년 서울아산병원에 입사했다. 처음에는 처방이나 입원 절차 등 병원의 간단한 흐름도 모르는 상태에서 각종 회의에 참석하는 것이 쉽지 않았다. 법령 해설서와 각종 판례를 참고해 보안을 한층 강화하자 화면 잠금이나 파일 다운로드, 상용 메신저 차단 등 불편 사항을 토로하는 직원들이 발생했다. 그래서 안 되는 일도 “다른 방법은 없는지 확인해 볼게요”라고 응대하다가 거절이 정확해야 한다는 피드백을 받았다. 대신 직원들에 공감하며 친절하게 응대하고자 노력했다. 
임직원이 싫어할 만한 정책을 펼쳐야 할 때 가장 큰 부담이 따른다. 그래도 정보가 유출되면 병원의 이미지에 타격을 입고 어마한 과징금도 부과되기에 절충점을 찾아가고 있다. 

"보안성 검토 결과서에 서명을 남길 때면 무게감을 느낍니다. 신중을 기하죠."
 

보안성 검토   

서울아산병원 국제진료센터에서 진행하는 비대면 진료 플랫폼 구축 사업이 막바지에 다다랐다. AMIS 3.0과 연계하고 외국인등록번호나 여권 정보 등의 개인 민감 정보를 다루는 사업이었다. 담당 부서의 업무를 파악한 뒤 법령과 가이드에 따라 80여 개의 보안 요구사항을 전달했다. 그리고 사업이 진행되는 동안 잘 이행되는지 주기적으로 점검했다. 계획부터 실행까지 1년에 가까운 시간이 걸렸다.     

매달 3건 정도 보안성 검토를 진행하고 있다. 연구, 진료, 행정 파트마다 정보보안에 대한 인식이 다르고 각기 다른 케이스를 다뤄 수시로 인터뷰하며 내용을 검토한다. 법적으로 기준이 명확하면 좋겠지만 담당자의 판단이 필요한 일이다. 관점에 따라선 과한 요구가 되기도 하고, ‘이거밖에 안 하나?’라고 여기기 쉽다. 혹시 놓치는 부분이 생기면 시스템이 미흡해진다는 부담감에 고민이 길어지고 마감 기한에 늘 쫓긴다. 그렇게 검토를 마치고 나면 노력한 만큼 일에 대한 애정과 자부심이 남는다. 이제는 정보보호 관점에서 필요한 고려 사항을 먼저 문의하는 직원도 늘었다. 내년부터 사업을 시작할 때 보안성 검토를 우선 신청할 수 있도록 처리 절차를 변경할 계획이다. 

▲ (왼쪽) 시스템실에서 보안 프로그램을 점검하고 있다.

▲ (오른쪽) 박수성 기획조정실장(오른쪽)과 정보보호의 날 상품 당첨자를 추첨하는 모습. 

"개인정보 유출 사고 제로 병원을  유지한다는 자부심이 있습니다."

침해 사고 대응

정보보호실에서 담당하는 보안 솔루션이 14개. 의료정보보호센터에도 가입해 의료기관 공동으로 해킹 시도를 모니터링하고 있다. 아직까지 서울아산병원에 정보보안 유출 사고가 없었던 건 직원들의 높은 의식이 뒷받침된 결과다. 정보보호실은 매년 키오스크 해킹이나 공용 컴퓨터 등에서 정보를 빼내는 모의 침투 훈련을 진행해 취약점을 보완하고 있다. 또 그해에 발생한 악성 메일을 구현해 임직원 계정으로 발송한다. 열람과 다운로드, 실행, 감염 여부를 각각 확인하니 약 3%의 직원이 실행까지 이어졌다. 3천여 명에 그쳤던 웹메일 사용자가 임직원 업무 플랫폼 '아산웍스' 사용 후 1만 3천여 명으로 늘면서 악성 메일을 처음 받아본 직원이 많았다. 국세청 사칭 메일을 받고 계좌와 신용카드를 동결했다는 직원들도 발생했다. 정보보안 교육의 사각지대가 있었다. ‘인식을 개선하는 데 더 노력해야 하는구나!’

이 주임은 연말에 정보보호 캠페인을 어떻게 진행할지 벌써부터 고민이 많다. 각종 게시물과 이벤트, 교육 콘텐츠를 만들 때마다 직원들의 관심을 끌기에 역부족을 느낀다. 그래도 정보보호실이 직원들에게 편안하게 다가갈 수 있기를 바라는 마음만은 간절하다.