올해 의료기관 정보보안 정책 수립시 핵심 키워드는?

[정희석 기자] [라포르시안] 대한병원정보보안협회(이하 협회·회장 박종환)는 최신 보안 이슈와 정책·기술 변화를 반영한 2026년 의료환경에서의 '정보보안 키워드 10'을 선정했다고 16일 밝혔다.

올해 키워드는 지난해 12월 8일부터 31일까지 협회 회원을 대상으로 진행된 공모와 학술분과 및 협회 임원진 검토를 거쳐 최종 확정됐다. 선정된 키워드는 올해 의료기관 보안 정책 수립과 운영 방향을 제시하는 주요 기준으로 활용될 것으로 기대된다.

의료 인공지능(AI) 보안 거버넌스

의료 현장에서의 AI 활용은 진단 보조 치료 계획 수립 의료 영상 분석 행정·운영 자동화 등으로 빠르게 확산하고 있다. 이에 따라 의료기관은 AI를 통해 의료 품질과 효율성을 높이고 있으나 기존 정보시스템과는 다른 새로운 보안 위협과 책임 문제에 직면하고 있다.

AI는 학습 데이터와 알고리즘에 기반해 작동하기 때문에 데이터 포이즈닝·프롬프트 인젝션과 같은 공격에 취약할 수 있고, 이는 곧 AI 판단 오류로 이어져 환자 안전에 영향을 미칠 수 있다. 특히 AI 생성 결과가 실제 진료 의사결정에 활용되는 의료환경에서는 출력물의 신뢰성과 관리 체계가 더욱 중요해지고 있다.

최근에는 의료기관 승인 없이 외부 생성형 AI 서비스를 사용하는 '섀도우 AI' 문제가 확산하며 개인정보 유출과 법·제도 위반에 대한 우려도 커지고 있다. 의료 AI 보안 거버넌스는 이러한 위험을 체계적으로 관리하기 위한 개념으로 AI 도입 전·후 전 과정에서의 위험 평가 보안 통제 책임 체계 정립을 포함한다. 이는 의료기관이 AI를 안전하게 활용하기 위한 핵심 과제로 자리 잡고 있다.

개인정보 과징금·책임 강화

대형 개인정보 유출 사고가 잇따르면서 개인정보 보호에 대한 사회적 요구와 법적 책임이 강화되고 있다. 최근에는 개인정보 보호 위반에 대한 과징금 부과 기준이 상향되고, 위반 행위의 중대성과 관리 소홀 여부에 따라 과징금 규모가 결정되는 방향으로 제도가 강화되고 있다.

이에 따라 개인정보 유출은 단순한 보안 사고를 넘어 기관 운영과 경영 전반에 영향을 미치는 중대한 리스크로 인식되고 있다. 의료기관 역시 개인정보 유출 사고 발생 때 과징금 행정처분 민·형사상 책임은 물론 환자 신뢰 하락·기관 이미지 손상 등 복합적인 피해에 직면하게 된다. 특히 의료기관이 처리하는 정보는 진료 기록, 건강 상태, 유전자 정보 등 고도의 민감정보를 포함해 일반 개인정보 유출보다 영향과 책임 범위가 더욱 클 수밖에 크다.

이로 인해 의료기관에 요구되는 개인정보 보호 수준과 관리 책임 역시 한층 엄격해지고 있다. 이 때문에 개인정보 과징금·책임 강화는 최고경영진의 책임 인식 내부 통제 체계 구축 접근 권한 관리 사고 대응 절차 마련 등 조직 전반의 관리 체계 강화를 요구하는 핵심 이슈로 자리 잡고 있다. 따라서 의료기관은 강화된 과징금제도와 사회적 책임 요구에 대응하기 위해 개인정보 보호를 핵심 경영 요소로 인식하고, 지속적인 관리와 개선 노력을 이어가야 할 것으로 보인다.

의료 사물인터넷·의료기기 사이버 보안

의료 사물인터넷(IoMT)과 다양한 의료기기의 네트워크 연결이 확대되면서 사이버 공격에 노출되는 범위도 함께 증가하고 있다. 환자 모니터링 장비 영상 진단 장비 치료 보조 기기 등 다수의 의료기기가 병원 네트워크에 상시 연결되며 이들 장비는 의료서비스 제공에 필수적인 요소로 자리 잡고 있다.

그러나 이는 일반 IT 시스템에 비해 보안 설계가 충분히 반영되지 않은 경우가 많아 새로운 보안 위협의 주요 대상이 되고 있다. 특히 구형 운영체제(EOS) 기반 의료기기나 제조사 의존도가 높은 장비는 보안 패치 적용이 어렵고, 장기간 동일 환경으로 운영되는 경우가 많아 주요 취약 요소로 지적되고 있다.

이러한 기기가 사이버 공격에 노출되면 단순한 정보 유출을 넘어 의료서비스 중단이나 장비 오작동 등 환자 안전에 직접적인 영향을 미칠 수 있다. 최근에는 IoMT 기기를 발판으로 내부 네트워크로 침투하는 공격 사례도 보고되며 의료기기 보안 중요성이 더욱 부각되고 있다.

따라서 IoMT·의료기기 사이버 보안은 단순한 기술적 관리 차원을 넘어 환자 안전과 직결되는 핵심 과제로 인식되고 있다. 의료기관과 제조사 간 보안 책임 범위가 명확하지 않은 현실에서 자산 식별 네트워크 분리 접근 통제 지속적인 모니터링을 포함한 체계적인 관리가 요구되고 있다. 의료기관은 이를 통해 안전한 진료 환경을 유지하고 의료서비스 신뢰성을 지속적으로 확보할 수 있을 것이다.

AI 기반 보안 운영 자동화(AIOps·SOAR)

보안 위협이 고도화되고 공격 빈도가 증가함에 따라 기존 인력 중심의 보안 운영 방식은 점차 한계에 직면하고 있다. 의료기관 역시 제한된 보안 인력으로 24시간 관제와 신속한 대응을 유지하는 데 어려움을 겪고 있으며, 이에 따라 보안 운영 자동화·효율화에 대한 요구가 커지고 있다. 이러한 환경 속에서 AI 기반 보안 운영 자동화(AIOps·SOAR)가 새로운 대안으로 주목받고 있다.

AIOps는 AI·머신러닝을 활용해 대량의 보안 로그와 이벤트를 분석하고, 이상 징후를 자동으로 식별하는 기술을 의미한다. 이를 통해 기존에는 사람이 일일이 분석해야 했던 방대한 보안 데이터를 보다 신속하고 정확하게 처리할 수 있다. SOAR는 탐지된 위협에 대해 사전에 정의된 시나리오에 따라 대응과 조치를 자동화함으로써 사고 대응 시간을 단축하고 대응 일관성을 확보하는 역할을 한다.

AI를 활용한 보안 운영 자동화는 위협 탐지부터 분석·대응까지 전 과정을 유기적으로 연결해 의료기관의 보안 대응 속도와 효율성을 크게 향상시킬 것으로 기대된다. 이는 단순히 인력을 대체하는 수단이 아닌 보안 인력이 더 전략적인 업무에 집중할 수 있도록 지원하는 기반으로 의료기관의 전반적인 보안 수준을 높이는 핵심 요소로 자리 잡고 있다.

의료 공급망 공격 대응

전자의무기록(EMR) 업체, 의료 서비스형 소프트웨어(Software as a Service·SaaS), 원격 유지보수 업체, 의료기기 제조사 등 의료환경을 구성하는 공급망이 점차 복잡해지면서 공격에 대한 우려도 커지고 있다. 의료기관은 다양한 외부 업체와 시스템을 연계해 운영하고 있으며, 이들 중 한 곳에서 발생한 보안 사고가 병원 전체 시스템으로 확산할 가능성이 커지고 있다. 특히 외부 유지보수 계정이나 원격 접속 경로는 공격자가 내부 네트워크로 침투하는 주요 통로로 악용될 수 있다.

최근에는 의료기관 자체의 보안 수준과 무관하게 협력사의 보안 취약점이 사고 원인이 되는 사례가 증가하고 있다. 특히 의료기기 소프트웨어 의료 AI 솔루션 오픈소스 구성요소 등 공급망 전반에 걸친 보안 가시성 확보가 중요해지면서 단일 시스템 중심의 보안 관리 방식에는 한계가 드러나고 있다. 이러한 환경에서는 공급망 전반을 고려한 체계적인 위험 관리가 필수적이다.

따라서 의료 공급망 공격 대응은 계약 체결 단계에서의 보안성 평가부터 운영 중 지속적인 점검과 계정 관리까지 포괄하는 관리 체계를 요구한다. 의료기관은 협력사에 대한 보안 기준을 명확히 하고, 정기적인 점검과 모니터링을 통해 공급망 리스크를 관리함으로써 의료서비스의 안정성·신뢰성을 계속 확보해 나가야 할 것이다.

ISMS-P 중심 의료 보안 규제 대응

의료기관을 대상으로 한 ISMS-P(Information Security Management System–Personal Information Protection·정보보호 및 개인정보보호 관리 체계) 인증 요구와 개인정보 보호 관련 규제가 강화되고 있다. 특히 대형 개인정보 유출 사고 이후 의료기관의 정보보호 관리 체계에 대한 사회적 요구가 높아지면서 인증 제도 실효성과 관리 책임에 대한 관심도 커지고 있다.

이에 따라 단순히 인증을 획득하는 것을 넘어 실제 보안 수준을 높이는 방향으로 제도 운영·이행이 중요하게 강조되고 있다. 특히 최근에는 의료기관의 특성과 취급 정보의 민감성을 고려해 ISMS-P 인증을 더 체계적으로 적용하거나 의무화하는 방안에 대한 검토·논의도 이어지고 있다. 의료기관은 대규모 민감정보를 상시적으로 처리하는 조직으로서 일반 기업보다 강화된 보호조치와 관리 체계가 요구된다는 인식이 확산하고 있다.

ISMS-P는 이러한 흐름에서 단순한 규제 대응 수단이 아니라 의료기관 보안 수준을 객관적으로 검증·개선하기 위한 기준으로 주목받고 있다. 이로 인해 ISMS-P 중심 의료 보안 규제 대응은 법적 요구사항을 충족하는 동시에 조직 전반의 보안 거버넌스를 강화하는 계기로 작용하고 있다.

의료기관은 관리적·기술적·물리적 보호조치를 실질적으로 이행하고, 지속적인 점검·개선 활동을 통해 보안 역량을 강화함으로써 강화되는 규제 환경에 선제적으로 대응해 나가야 할 것으로 보인다.

제로트러스트 기반 접근통제

의료기관의 IT 환경은 클라우드 서비스 도입 원격 근무 환경 확대 IoMT 확산 등으로 빠르게 변화하고 있으며, 이에 따라 기존의 경계 기반 보안 모델 한계가 점차 명확해지고 있다. 폐쇄망이나 내부망이라는 이유만으로 신뢰하던 접근 방식은 더 이상 충분하지 않으며, 내부 계정 탈취나 권한 오남용과 같은 위협도 주요 보안 이슈로 부각되고 있다. 이러한 변화 속에서 모든 사용자와 기기를 지속적으로 검증하는 '제로트러스트' 기반 접근 통제가 중요한 대안으로 주목받고 있다.

제로트러스트는 네트워크 위치·소속에 관계 없이 모든 접근을 잠재적 위협으로 간주하고 사용자·디바이스·접근 행위에 대해 반복적인 인증과 검증을 수행하는 보안 모델이다. 특히 의료기관에서는 의료진, 외주 인력, 의료기기, 시스템 계정 등 다양한 주체가 동시에 시스템에 접근하는 만큼 최소 권한 원칙과 세분화된 접근 통제를 구현하는 것이 중요하다.

이 같은 제로트러스트 기반 접근 통제는 내외부 위협을 동시 대응할 수 있는 구조를 제공하며, 의료기관의 복잡한 IT 환경에서도 접근 권한을 더 정교하게 관리할 수 있도록 지원한다. 이는 단순한 기술 도입을 넘어 의료기관의 보안 인식과 운영 방식을 변화시키는 핵심 전략으로 자리 잡고 있다.

클라우드 데이터 보안·책임 모델

의료기관의 클라우드 도입이 가속화하면서 데이터 보안과 책임 범위에 대한 명확한 이해가 점차 중요해지고 있다. EMR, 의료 영상, 연구 데이터 등 민감한 의료정보가 클라우드 환경에서 처리·저장되는 사례가 증가함에 따라 데이터 보호 요구도 함께 높아지고 있다. 이러한 환경에서는 기존 온프레미스(on-premises) 중심의 보안 접근 방식만으로는 충분한 대응이 어려워지고 있다.

클라우드 환경에서는 서비스 제공자와 이용자 간 책임 분담, 이른바 '공유 책임 모델'이 핵심 이슈로 작용한다. 인프라 보안은 클라우드 사업자가 담당하더라도 데이터 접근 통제 암호화 계정 관리 로그 모니터링 등은 의료기관의 책임으로 남는 경우가 많다. 이로 인해 책임 범위에 대한 이해 부족은 보안 공백으로 이어질 수 있으며, 규제 위반이나 사고 발생 때 책임 소재가 불분명해질 위험도 존재한다.

특히 클라우드 데이터 보안 및 책임 모델은 데이터의 생성부터 저장·이용·전송·폐기까지 전주기 보호 체계를 요구한다. 의료기관은 클라우드 환경에 맞는 보안 정책과 운영 기준을 수립하고 하이브리드·멀티 클라우드 환경에서도 일관된 보안 수준을 유지함으로써 데이터 보호·규제 준수를 동시에 달성해야 할 것이다.

랜섬웨어 대응을 위한 데이터 복원력

의료기관을 대상으로 한 랜섬웨어 공격이 증가하면서 단순한 백업을 넘어선 데이터 복원력(Data Resilience)의 중요성이 강조되고 있다. 최근의 랜섬웨어 공격은 데이터 암호화에 그치지 않고 유출 협박과 백업 시스템 파괴를 동반하는 이중 갈취 방식으로 고도화돼 기존 대응 전략의 한계를 드러내고 있다. 이러한 공격은 의료서비스 중단과 환자 안전 위협으로 직결될 수 있는 만큼 의료기관에 큰 부담으로 작용하고 있다.

데이터 복원력은 사고 발생 때 데이터를 얼마나 빠르고 정확하게 복구할 수 있는지를 의미하며, 단순히 데이터를 저장해 두는 백업 개념을 넘어선다. 무결성이 검증된 백업 체계, 격리된 저장 환경, 복구 목표 시간(Recovery Time Objective·RTO) 단축 등은 의료기관이 랜섬웨어 사고 이후에도 진료를 지속할 수 있도록 하는 핵심 요소로 평가받고 있다. 특히 EMR·의료영상저장전송시스템(PACS) 등 핵심 진료 시스템의 신속한 복구는 의료기관의 운영 안정성과도 직결된다.

랜섬웨어 대응을 위한 데이터 복원력은 예방 중심 보안과 함께 의료기관의 안정적인 운영을 뒷받침하는 필수 전략으로 자리 잡고 있다. 의료기관은 기술적 대비뿐만 아니라 사고 대응 절차와 복구 시나리오를 정기적으로 점검함으로써 사이버 위협 환경에서도 진료 연속성과 환자 신뢰를 유지해 나가야 할 것이다.

프라이버시 강화 기술(PETs)과 최소화 문화

의료 데이터의 활용 범위가 진료 지원, 연구, AI 학습 등으로 확대되면서 개인정보 보호와 데이터 활용 간 균형이 의료기관의 중요한 과제로 부상하고 있다. 의료 데이터는 그 자체로 민감정보의 성격을 지니고 있어 활용 과정에서의 작은 관리 소홀도 심각한 침해로 이어질 수 있다. 이러한 환경에서 프라이버시 강화 기술(Privacy-Enhancing Technologies·PETs)과 데이터 최소화 원칙은 개인정보 보호를 강화하면서도 데이터 활용을 가능하게 하는 현실적인 해법으로 주목받고 있다.

프라이버시 강화 기술은 가명·익명 처리 마스킹 연합학습 차등 프라이버시 등 다양한 기술을 통해 개인정보 노출을 최소화하면서 데이터 활용 가치를 유지하는 접근 방식이다. 특히 의료 현장에서는 진료 기록 공유나 연구 협업 과정에서 필요한 정보만을 제한적으로 제공함으로써 불필요한 개인정보 노출을 줄이는 것이 중요해지고 있다.

이러한 프라이버시 보호는 기술적 조치에만 의존해서는 충분하지 않으며 조직 문화 차원의 데이터 최소화 실천이 함께 이뤄져야 한다. 의료기관이 개인정보를 꼭 필요한 범위 내에서만 수집·이용·전송하는 문화를 정착시킬 때 환자 신뢰를 높이고 강화되는 개인정보 보호 규제에도 효과적으로 대응할 수 있을 것이다.

황연수 대한병원정보보안협회 학술분과장은 "협회는 의료기관의 정보보안 수준 향상과 안전한 의료정보 보호 체계 구축을 목표로 활동하는 의료 정보보안 전문가 협의체로 의료 현장의 보안 이슈를 공유하고 공동의 대응 방향을 모색해 왔다"며 "특히 매년 회원 공모와 논의를 통해 의료환경 변화와 보안 트렌드를 반영한 키워드를 선정해 의료기관이 중점적으로 고려해야 할 보안 과제를 제시하고 있다"고 밝혔다.

이어 "올해 정보보안 키워드는 의료 AI 활용 확산에 따른 보안 거버넌스, 개인정보 과징금 강화에 따른 책임 문제, 랜섬웨어와 공급망 공격에 대비한 운영 및 복원력 중심 보안으로 무게 중심이 이동한 것이 특징"이라며 "이는 의료기관이 개별 보안 솔루션 도입을 넘어 조직 전반의 관리 체계·운영 방식을 함께 점검해야 할 필요성이 커졌음을 보여준다"고 강조했다.

<저작권자 Copyright ⓒ 라포르시안 무단전재 및 재배포 금지>