Offcanvas

보안

미국 병원들, 환자 정보 유출로 곤혹

2012.04.17 Ellen Messmer  |  Network World
격년으로 미국의 250개 의료 기관을 대상으로 실시하는 조사에 따르면, 환자 정보 침해를 경험했다고 말한 의료 기관들이 증가하는 것으로 나타났다. 그리고 전자 기록 보관의 성장과 함께 이러한 문제들은 사람이 직접 관리하는 종이 문서가 아니라 노트북과 모바일 기기에서 발생하는 것으로 조사됐다.

2012 HIMSS 분석 보고서: 환자의 데이터 보안’이라는 이 보고서는 직장에서 모바일 기기 같은 새로운 IT 사용이 새로운 운영 효율과 보안 취약성을 낳으면서 급증하고 있다는 내용을 담고 있다. 이 보고서를 발간한 의료정보관리시스템보안(HIMSS)기구는 지적했다. “모바일 기기가 수술실과 병원 행정 같은 분야에서 만연하게 쓰이면서 잠재적인 공격 범위를 넓히게 됐다. 여기에 직원의 태만과 변화하는 기술을 수용하지 않으려는 조직의 구조적인 정책에서 오는 위험 요소들이 더해졌다”라고 HIMSS는 덧붙였다.

크롤 자문 솔루션(Kroll Advisory Solutions)이 의뢰한 이 조사는 약 250 병원과 의료 센터에서 일하는 CIO, 의료 정보 관리자, 개인정보 보호 임원, CSO 등에게 지난 12 개월 동안 발생한 데이터 침해 건수에 대한 질문으로 진행됐다.

조사 응답자의 27%는 지난 1년 동안 최소한 1건의 보안 유출 사고를 경험했다고 말했다. 이같이 답한 응답자는 2008년 13%에서 20010년 19%로 증가했으며 2012년에는 이보다 더 증가한 것으로 나타났다. 또한 응답자 79%는 보안 사고에 직원들이 관련 있다고 말했으며 이 가운데 대부분은 아웃소싱 업체나 계약직 직원들 잘못으로 지목했다. 보안 사고의 절반은 개인이 일반적으로 환자의 이름과 생일월일로 식별된 정보에 무단으로 접근함으로써 발생한 것으로 조사됐다.

한편, 이 조사에서 응답자의 40% 이상이 종이 문서의 부적절한 파기를 포함한 종이 문서의 남용에 대해서도 지적했다. 이 조사는 컴퓨터 기반의 보안 문제가 데이터 소스와 함께 빠르게 증가하고 있음을 보여줬다. 약 22%가 노트북이나 헨드핼드 기기 관련 정보 유출이나 손실로 나타났으며 2010년에는 이 같은 응답이 11%에 불과한 것으로 집계됐다. 외부 업체가 의료 데이터를 보관할 경우, 이 업체와 관련한 정보 유출 문제도 증가하는 것으로 조사됐다. 2010년에는 외부 업체로 인한 정보 유출이 경험했다고 말한 응답자가 6%였으나 올해에는 10%로 많아졌다. 반면, 외부 공격에 의한 정보 유출은 약 3%로 집계됐다.

BYOD의 정보 유출을 우려하는 CIO들도 증가하는 것으로 조사됐다. 2008년에는 BYOD의 정보 유출을 우려한 응답자가 4%에 불과했으나 2010년에는 20%로 증가했으며 2012년에는 무려 31%로 늘어난 것으로 조사됐다. 정보 유출을 경험한 응답자 가운데 22%는 노트북, 핸드헬드 기기, 컴퓨터 하드 드라이브를 분실하거나 도난당했을 때 이 같은 사고를 겪었다고 답했다. 2010년에 이같이 말한 응답자는 2배였던 것으로 조사됐다.

보고서에 따르면, 미국 의료 기관의 대부분은 CMS 의미있는 사용(CMS Meaningful Use) 요구 및 표준 기술 국립 연구소(National Institute of Standards and Technology)와 같은 연방 정부의 가이드라인을 따르며 형식적인 리스크 분석에 그치는 것으로 나타났다.

이 보고서의 목적은 의료 정보를 위한 자금 마련과 HITECH 법안 등 미국 경제 회복 및 재투자법(American Recovery and Reinvestment Act of 2009)을 준수하는 것이다. HITECH는 환자 의료 정보의 오용과 관련된 보안이 만료된 데에 따른 처벌이 포함된 법이다.

보고서에 따르면, 설문에 응한 대부분의 병원과 의료 기관은 연방 정부가 실행하는 민권사무소(Office of Civil Rights) HIPAA 감사를 준비하는 단계를 가능한 밟아가는 것으로 나타났다. 응답자 중 4%는 감사를 받았으며 이들 가운데 90%는 향후 더 나은 준비를 위해 노력하겠다고 밝혔다. 전체 응답자의 2%는 HIPAA를 위반한 결과로 벌금을 부과 받은 적이 있다고 답했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.