[이데일리 안치영 기자] “공세적인 모의 해킹(Red Teaming)을 통해 우리 시스템의 민낯을 마주하는 것부터가 실효적인 보안의 시작입니다.”

서울아산병원 내부에서는 ‘보안 교전’이 벌어진다. 외부 해커가 아닌 병원 스스로 조직한 ‘레드팀’이 주체다. 이들은 실제 침해 사고와 동일한 시나리오로 병원망에 침투해 데이터의 노출 한계를 집요하게 파고든다. 결과는 냉정하다. “점검할 때마다 취약점을 발견한다”는 게 현장의 생생한 고백이다.

유소영 서울아산병원 빅데이터연구센터 교수는 지난 24일 진행한 인터뷰에서 ‘모의 해킹’을 가장 강력한 보안 자구책으로 꼽았다. 관행적인 점검이나 이론 중심의 교육만으로는 의료 데이터 보안의 역동적인 위협에 대응하기 어렵다는 이유에서다.

“진료 정보 유출, 법적 책임을 넘어선 ‘신뢰 자산’의 손실”

유소영 서울아산병원 빅데이터연구센터 교수(사진=본인)

<이미지를 클릭하시면 크게 보실 수 있습니다>

유 교수는 의료 데이터의 위험성을 일반적인 개인정보 유출보다 훨씬 엄중하게 규정했다. 그는 “의료 정보는 자체로도 고도로 민감하지만 파편화된 정보들이 결합될 때 재식별화될 가능성이 매우 높다”며 “특히 전자의무기록(EMR) 데이터는 맥락적 특성상 완전한 비식별화가 까다롭다”고 지적했다.

특정 질환, 치료 시점, 방문 기록 등을 조합하면 개인을 특정하는 단서가 될 수 있다. 여기에 식별 정보를 결합하면 금융 사기나 보험 악용을 넘어 ‘사회적 낙인’이라는 치명적인 2차 피해로 이어질 수 있다는 게 그의 설명이다.

유 교수는 “데이터 유출은 단순히 처벌로 끝날 게 아니라 전문직 윤리와 의료 시스템에 대한 사회적 신뢰가 붕괴되는 비극”이라며 “의료기관은 금융기관과 더불어 가장 방대한 민감 정보를 다루는 곳이다. 보안 역시 최고 수준의 회복 탄력성을 갖춰야 하는 이유”라고 강조했다.

의료 데이터 보안의 또 다른 걸림돌은 역설적이게도 ‘업무적 익숙함’이다. 의료진에게 진료 정보는 매일 마주하는 일상적 데이터다 보니 환자가 느끼는 정보의 무게감과 의료진의 체감 농도 사이에 간극이 생길 수밖에 없다는 것이다.

그는 “진료 현장의 효율성을 우선하다 보면 보안이 검증되지 않은 범용 채널을 통해 소통하는 등 구조적인 취약점이 발생할 수 있다”며 “개별 의료진의 문제라기보다 현장의 특수성을 반영한 보안 가이드라인과 기술적 지원 체계가 미비하기 때문에 벌어지는 현상”이라고 분석했다.

아울러 그는 보안을 개인의 주의력 문제가 아닌 ‘조직적 거버넌스’의 영역으로 보았다. 유 교수는 “데이터 접근 권한의 명확화, 사고 발생 시의 책임 체계, 그리고 데이터 활용에 대한 사회적 공감대 형성을 병행해야 한다”고 강조했다.