미국의 보건의료정보에 관한 법률인 HIPAA(Health Insurance Portability and Accountability Act)의 시행 시점이 다가옴에 따라 국내외 의료정보 분야의 있어서의 정보보안에 대한 논의는 더욱 활기를 띄고 있는 양상이다. HIPAA는 ‘보험청구 시 진료기록을 포함하며 모든 보험 관련 업무는 전자화한다’라고 규정하고 보험 업무 전산화 표준에 있어서 환자기록, 개인정보 보안 및 비밀유지의 표준을 제정하여 위반 시는 형사처벌도 가능하게 하고 있다.
의료정보 보안, 디지털 의료화의 첫걸음
국내 의료법에는 의사 또는 의료종사자에 의한 환자의 비밀 보호는 물론 환자의 알 권리에 대해서도 명기함으로써 진료 전달체계 및 정보공유에 대한 의무 조항도 규정하고 있다. 즉, 의료인은 동일한 환자의 진료상 필요한 정보를 다른 의료 기관에서 열람이나 사본의 송부를 요구할 때에는 이에 응해야 한다는 것이다.
의료분야의 정보화가 진척됨에 따라 의료 정보 공유화로 환자의 알 권리는 신장시킬 수 있으나 이에 따른 보안은 점차 어려워지게 마련이다. 정보의 공유화는 개방성, 광역성, 규격성이 요구되는데 반하여 보안의 문제에 있어서는 정보의 폐쇄성과 국지성, 기밀성이 요구되고 있기 때문이다.
의료정보에 있어 보안이란 환자의 프라이버시를 보호한다는 측면에서 뿐만이 아니라, 진료의 안정성을 확보하기 위해 진료정보에 대한 불법적인 접근과 유출을 방지하여 진료정보의 위조 및 변조 파괴의 가능성을 배제함을 그 목적으로 한다. 따라서 의료 정보에 대한 보안기술은 시스템상에 있어 법적으로 규정된 기준을 만족하여 환자의 프라이버시를 보호하고 나아가 더 나은 보건의료 서비스의 실현을 지원하는 기술이라 하겠다.
정보 보안의 문제는 기술적인 대책뿐만이 아니라 시스템 운용에 있어서의 조직적인 대책, 제도적인 대책이 함께 강구돼야 완전한 해결점에 도달할 수 있다.
의료정보 보안에 요구되는 기술에는 진료정보의 비밀유지를 위한 도청방지 기술과 정보의 위조내지는 변조 방지 기술, 시스템 사용자의 정당성을 확인하는 본인인증 기술, 네트워크상에서 정보 공유화에 참가하는 기기의 인증기술, 진료정보를 작성한 의료인을 확인하는 전자서명 기술 외에 네트워크의 보안성을 향상시키는 기술, 바이러스 방지 기술 등이 포함될 수 있겠다. 이들 중 도청방지와 위조방지, 그리고 사용자 및 기기의 인증 방법, 전자서명의 원리에 관해 정보보안의 핵심적인 요소기술의 하나인 암호기술을 응용한 방법에 대해 설명하기로 한다.
데이터의 비밀유지를 위한 도청방지의 방법으로서는 일반적으로 암호화 기술이 널리 사용되고 있다. 통신 당사자간에 약속된 암호키를 사용하여 암호화한 데이터를 전송함으로서 전송로 상에서 제3자에 의한 데이터의 도청이 발생하더라도 암호키가 알려지지 않는 이상 당사자 외에는 데이터를 해독할 수 없도록 하여 비밀을 유지하는 것이다.
