이종희(엔젤로보틱스 이사)

[라포르시안] 얼마 전 국내 의료기기의 ‘사이버 보안’ 수준과 관련해 한국산업기술시험원(KTL)·한국의료기기안전정보원(NIDS) 관계자들과 이야기를 나눌 기회가 있었다. 당시 전해 들은 이야기에 따르면 식품의약품안전처가 전자 의료기기 사이버 보안 문제를 인지하고, 어느 정도 수준으로 기준을 수립해야할지 고민하고 있다는 전언이다. 가정용 체온계와 병원 수술실 환자감시장치에 동일한 수준의 사이버 보안을 적용할 수는 없기 때문이다. 

가정용 체온계에 환자감시장치와 같은 수준의 사이버 보안을 요구한다면 업체들은 불필요한 추가 테스트로 인한 큰 부담을 안게 될 것이다. 반대로 환자감시장치에 가정용 체온계의 사이버 보안 수준을 적용한다면 수술 중 장비가 멈추거나 실제와 다른 데이터가 표시되는 등 심각한 문제를 초래할 수 있어 제품 및 품목별 다른 기준의 사이버 보안을 수립해야한다.

특히 그 기준은 글로벌은 물론 국내에도 부합해야하는 만큼 식약처·KTL·NIDS 등에서 한국 실정에 맞는 사이버 보안 가이드라인을 만들기 위해 노력하고 있다. 그간 의료기기 사이버 보안 이슈는 꾸준히 제기돼왔다. 개인적으로는 전 직장이 전자 의료기기보다는 일회용 의료기기를 주력 제품으로 했기 때문에 사이버 보안에 대한 관심이 적었다.

사이버 보안에 큰 관심을 갖게 된 계기는 무선 통신이 가능한 약물 주입 펌프를 개발하면서부터다. 이 제품은 환자의 ID와 키·체중 등 정보를 전자의무기록시스템(EMR)으로부터 불러와 임상의가 선택한 또는 처방한 약제에 맞는 약물 주입 용량과 약물 주입 속도 범위를 가이드해주는 기능을 구현했다. 이러한 기능은 병원 내부 망에서만 테스트해야 했고, 병원 정보보안팀의 엄격한 통제 하에 진행할 수 있었다. 병원에서는 해킹 등에 따른 환자 정보 유출에 신경을 썼으며, 특히 인터넷을 통한 해킹에 많은 주의를 요하고 있었다. 이때가 벌써 7~8년 전 일이었다.

무선 통신을 이용한 의료기기를 개발하면서 자연스럽게 사이버 보안의 중요성을 인식하기 시작했다. 무선 통신과 빅데이터를 활용한 제품들이 디지털 의료기기·웰니스 기기·헬스케어 기기라는 이름으로 생겨났고, 이들 제품에 대한 사이버 보안 대책에 관심을 갖게 되면서 기회가 있을 때마다 회사 관계자들과 이야기를 나눴다.

대부분의 회사들은 사이버 보안 기준을 수립하지 못하고 있었고, 식약처가 발행한 가이드라인에 따라 사이버 보안을 진행하고 있었다. 그러나 식약처 가이드라인은 외국에 비해 기초적인 내용만을 다루고 있어 해당 기준을 만족하면 유럽 CE(MDR)·미국 FDA을 만족할 수 있을지 의문이었다.

다행히 식약처 역시 이러한 문제점을 인지하고 국제기준과 한국 실정에 맞는 사이버 보안 가이드라인을 고도화하기 위한 노력을 하고 있다는 점에서 의료기기업체 종사자로서 깊은 감사의 마음을 전하고 싶다. 특히 사이버 보안과 관련해 의료기기업체와의 대화에서 알게 된 것은 대부분이 식약처 가이드라인에 따라 사이버 보안 기준을 수립했고, 기준을 지키기 위한 노력을 하고 있다는 점이었다.

그렇다면 '과연 의료기기업체들은 정보보안을 위해 어떠한 노력을 하고 있을까'라는 생각이 들었다. 사이버 보안은 실제 제품을 사용하는 곳에서만 적용되는 것이 아니라 제품 개발 단계에서부터 제조·출하 후 소프트웨어 업데이트 과정에서도 바이러스가 침투할 수 있기 때문에 제품 전주기에 걸쳐 정보보안 절차가 수립돼 있어야하기 때문이다.

이미 자동차·국방·항공 산업에서는 사이버 보안에 대한 강력한 조치를 취하고 있고 ISO 27001 기준에 따라 정보보안 인증을 받고 있으며, 제품을 납품할 때 이를 의무조항으로 하고 있다. 서버 기반의 소프트웨어 업체 또한 거래처 정보를 보호하기 위해 ISO 27001 기준에 따라 정보보안 절차를 수립하고 전자문서뿐 아니라 인쇄된 문서·메일 등에 대한 보안을 강화하고 있다. ‘과연 우리 회사에도 이들 규격을 적용할 수 있을지’와 ‘디지털 의료기기가 증가하면서 정보보안이 GMP와 같이 필수로 지켜야하는 규격이 되지 않을까’하는 생각이 들었다.

현재 대부분의 의료기기업체들은 사이버 보안에 관심을 갖고 있는 반면 정보보안에 대해서는 상대적으로 관심이 적은 것 같다. 회사 내부에 정보보안 시스템이 구축돼 있지 않다면 혹여 나쁜 마음을 가진 해커들이 데이터에 쉽게 접근하고 이를 악용할 수 있다. 이는 환자와 병원에도 그 피해가 갈 수밖에 없다. 의료기기업체들이 사이버 보안을 준비하면서 그 수준에 맞는 내부 정보보안 시스템 구축을 병행해야하는 이유가 바로 여기에 있다.   

관련기사
저작권자 © 라포르시안 무단전재 및 재배포 금지