[헬스인·싸] 의료기관은 ‘디지털 재난’으로부터 얼마나 안전한가

[라포르시안] 국내 의료기관에서는 전자의무기록(EMR)시스템을 비롯해 환자 자격 조회·의약품 안전 사용 서비스(DUR) 등 대부분이 전산화를 통해 운영된다. 더욱이 수술·치료 등 직접적인 의료행위조차도 병원정보시스템에 기반해 관리되고 있는 상황에서 혹여라도 자연재해 등 예기치 못한 전산 장애가 발생하면 환자 안전을 크게 위협할 수 있다.

실제 2018년 11월 KT 아현지사 통신구 화재와 2021년 10월 KT 유·무선 인터넷 통신 서비스 장애가 발생하자 병의원 외래 및 입·퇴원 업무에 큰 혼란이 야기됐다. 또 2022년 10월 SK C&C 판교 IDC(인터넷데이터센터) 화재로 카카오 ‘먹통 사태’가 발생했고, 지난해 11월에도 국가 행정망의 연속적인 전산 장애로 119 구급대 활동에 필수적인 국가재난관리시스템(NDMS)과 119 신고자 위치 파악에 필수적인 지리정보시스템(GIS)의 작동 불능으로 의료기관과의 연계에 직·간접적인 차질이 빚어졌다. 

특히 카카오 사태에 앞서 2001년 9월 11일 미국 세계무역센터 테러는 국가 재해복구(Disaster Recovery·DR)시스템의 중요성을 각인시키는 상징적인 사건이었다. 9.11 테러는 미국은 물론 전 세계 경제 혼란을 가져올 것으로 예상됐다. 하지만 우려와 달리 미국은 신속히 재해복구시스템(이하 DR시스템)을 가동해 사건 발생 4일 만에 국가 경제 시스템을 신속하게 복구하는 탁월한 위기 대응 능력을 보여줬다. 이를 계기로 우리나라도 2001년 10월 ‘금융기관 재해복구센터 구축 권고안’을 통해 금융기관의 안전성을 높이기 위한 제도를 마련하고, 전자금융감독 규정에 재해복구시스템 가동(제19조)에 대한 기준을 수립해 관리하기 시작했다. 

재해에는 지진, 홍수, 화재 등 자연재해와 전쟁, 해킹, 통신장애, 전력공급 차단 등 외부요인과 시스템 결함, 기계적 오류, 부실한 관리 오류 등 내부적 요인에 의한 장애를 모두 포함한다. DR시스템은 재해가 발생하면 재해복구계획(DRP)을 통해 비즈니스와 서비스가 신속하게 운영을 재개하거나 기능을 유지할 수 있도록 지원한다. 이러한 DRP는 계획과 테스트가 포함되며, 운영 복구를 위해 DR시스템을 보유한 DR센터를 구축한다. 

DR센터는 운영 방침에 따라 ▲미러사이트(1등급) ▲핫사이트(2등급) ▲웜사이트(3등급) ▲콜드사이트(4등급) 등으로 나뉘며, 클라우드(Cloud) 또는 온프레미스(On-premises)로 구축할 수 있다. 또한 제공하는 서비스와 보관해야 할 데이터 중요도에 따라 DR센터 운영 방식을 정하게 되는데 등급이 높을수록 ‘복구목표시간’(Recovery Time Objective·RTO)이 짧아지고, ‘복구시점목표’(Recovery Point Objective·RPO)의 간격도 줄어들게 된다. 

즉 미러사이트로 복구 센터를 구축하게 되면 동일한 성능의 환경으로 DR시스템을 구성하고 실시간 데이터를 복제해 운영하기 때문에 복구 소요 시간이 짧아지고 복구되는 데이터 반영 시점도 거의 최근 수준으로 가능하다. 대신에 구축 및 관리 비용이 커지고 매년 적지 않은 투자가 이뤄져야 한다. 참고로 금융기관의 RTO는 3시간 이내로 정하고 있다.

한편, 의료기관은 EMR·의료영상저장전송시스템(PACS) 구축이 확대된 2000년 중반 이후 상급종합병원을 중심으로 DR시스템을 구축하기 시작했다. 데이터의 중요성과 전산 시스템 의존성이 더욱 커진 최근에는 많은 병원이 DR시스템 구축을 고려하고 있다. 지난해 용인의 모 종합병원이 메인 서버 및 DR시스템 모두가 가동 중단되는 상황에 대비한 모의 재난 훈련을 한 것은 전산 장애 심각성을 인식하고 대처하는 모범적인 사례라 할 수 있다. 

하지만 이 같은 사례는 극히 일부 선도 병원에 불과할 뿐 대다수 병원의 경우 경영 여건상 DR시스템 구축에 투자하기가 쉽지 않다. 현실적으로는 최소한의 데이터 백업과 서버 이중화 정도의 구성으로 장애에 대비하고 있는 곳이 대다수일 것으로 예상된다. 물론 운영되는 모든 전산 시스템에 재해복구 안전망을 구축하는 것이 이상이지만 비용과 효용성을 고려하면 좀 더 현실적인 방안을 고민할 필요가 있다. 

가령 병원의 다양한 서비스 중에서 환자 진료와 운영 중요성에 따라 등급을 나눠 시스템을 구축한다면 보다 적정한 체계를 만들 수 있을 것이다. 더불어 물리적 시스템 구성과 함께 재해 예방과 감지 그리고 신속한 재해복구 실행을 통해 피해를 최소화할 수 있도록 계획을 수립하고 정기적인 모의 훈련을 진행하는 것도 중요하다.

문제는 병원 입장에서 DR센터를 구축하고 운영에 필요한 비용과 인력을 확보하는 일이 쉽지 않다는 점이다. 더욱이 지속적인 훈련을 통해 체계화돼 있지 않으면 카카오 사태와 같은 상황에서 어느 병원도 신속한 대응이 가능하다고 자신할 수 없을 것이다. 따라서 공간과 운영 측면에서는 BaaS(Backup as a Service·서비스형 백업)·DRaaS(DR as a Service·서비스형 재해복구)와 같은 클라우드 기반 서비스를 검토·도입하는 것이 좋은 대안이다. 더불어 병원 간 공동 DR센터를 구축하는 것도 한 방법이 될 것이다. 특히 2000년대 초반 금융권의 재해복구센터 구축 당시 통신 회선 비용 인하 등 재정적 지원과 관련 규정·가이드라인을 수립한 것처럼 의료분야에도 그에 준하는 정부의 의료기관 지원이 이뤄져야 할 필요성이 있다. 

참고로 카카오 사태 이후 금융감독원의 금융기관 점검 결과를 보면 ▲비상 대책에 재해 대응 절차가 구체적이지 않고 비상대책위원회가 별도로 구성돼 있지 않거나 역할과 책임 부여가 불분명 ▲단편적인 평가 요소만으로 업무별 복구 우선순위를 결정해 핵심 업무 누락 발생 ▲재해복구센터 서버 등 용량이 주 전산센터에 크게 미달하거나 대외기관 전용선이 누락돼 재해 발생 시 정상적인 서비스 제공 의문 ▲훈련 시 구동 테스트를 일부 시스템만 수행하거나 주요 외부 기관과의 연계 업무를 대상에서 제외해 훈련 결과의 적정성을 담보하기 곤란 ▲전자 금융 거래기업 중 118곳의 DR시스템 미구축 등을 지적하고 있다.   

약 20년 전부터 구축해 온 금융기관의 전산 장애 재해복구 현주소가 이러한데 과연 의료기관은 어느 정도일까. 2020년 보건의료정보화 실태조사는 정부가 가장 최근 수행한 보건의료 분야 수준을 파악할 수 있는 좋은 사례지만 아쉽게도 ▲재해복구시스템 구축 여부 ▲운영 방침 ▲서비스 범위 ▲재해복구 계획 등에 대한 조사 항목은 빠져 있다. 

정부는 이제라도 의료기관과 함께 재해복구시스템 현황과 문제점을 진단하고, 금융 서비스와 같이 의료서비스의 안전성을 강화해 서비스 중단 사고를 감소시키는 정책 수립과 지원에 나설 때이다. 미국 일리노이주에 있는 한 병원이 랜섬웨어 감염에 따른 전산 장애를 끝내 극복하지 못해 결국 문을 닫았다는 소식은 결코 남의 일만이 아니기 때문이다.  

※ 외부 필진의 글은 본지의 편집방향과 다를 수 있습니다.