지난 6월 대형 병원으로 정보보호 관리체계(ISMS) 인증 의무가 확대된 후 순천향대 부속 부천병원과 삼성서울병원이 ISMS 인증을 획득했다. 대형 병원들은 내년 12월까지 ISMS 인증을 받아야하기 때문에 내년 상반기까지 ISMS 인증 획득으로 분주할 것으로 전망된다.

18일 보안업계와 한국인터넷진흥원(KISA) 관계자 등에 따르면, 삼성서울병원이 ‘의료정보시스템 및 홈페이지 서비스 운영’ 부문에서 지난 11일 ISMS 인증을 획득했다. 앞서 지난달 10일에는 순천향대 부속 부천병원이 ‘온라인 서비스 운영’ 부문에서 ISMS 인증을 취득했다.

대형 병원들의 ISMS 인증 취득은 계속 이어질 것으로 보인다.

KISA 관계자는 “인증을 받은 곳 외에 여러 병원이 ISMS 인증을 신청했으며 준비를 하고 있는 곳도 있다”고 말했다.

대형 병원들이 ISMS 인증 취득에 나선 것은 의무 대상에 포함됐기 때문이다. 6월 2일 시행된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안은 ISMS 인증 신규 의무 대상으로 세입이 1500억 원 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만 명 이상인 학교를 추가했다.

이에 따라 서울대병원, 분당서울대병원, 서울아산병원, 연세대 의과대학 세브란스병원, 이화여대 부속 목동병원, 건국대병원, 고려대 의과대학 부속병원 등 40여개 상급병원이 ISMS 의무 적용 대상이 됐다.

ISMS 인증은 주요 정보자산 유출 및 피해를 사전에 예방하기 위한 목적으로 기업이 스스로 수립, 운영 중인 정보보호 체계가 적합한지를 인증하는 제도다. 인증은 12개 보안관리 과정, 92개 보안대책 등 총 104개 항목을 심사해 부여된다. ISMS 인증은 400개 이상의 기업이 취득한 것으로 알려지고 있다.

(정보보호 관리체계(ISMS) 인증 체계 [자료: 미래창조과학부])

정부는 기업, 기관들이 ISMS를 자율적으로 취득하도록 독려하고 있지만 각종 보안 사고가 불거지면서 의무 대상을 확대하고 있는 추세다. 의무대상 기관이 인증을 미취득할 경우 3000만 원 이하의 과태료를 물어야 한다.

병원들은 그동안 ISMS 인증 의무대상이 아니었다. 하지만 의료 기관들이 민감한 정보를 다루고 있어 해킹을 당하거나 개인정보가 유출될 경우 큰 피해가 발생할 수 있다는 지적에 따라 의무대상에 포함됐다.

당초 미래창조과학부와 KISA는 올해 12월 2일까지 ISMS 인증을 받도록 요구했다. 하지만 병원들은 ISMS 인증에 약 5~6개월이 소요된다는 점을 들어 유예기간을 요청했다. 이에 내년까지 의무가 유예됐다.

미래부 관계자는 “병원들이 올해 12월 2일까지 ISMS 취득이 현실적으로 어렵다고 주장했다”며 “이를 고려해 내년 12월 2일까지 ISMS 인증을 받도록 1년 간 유예하기로 했다”고 말했다.

ISMS 신청 후 인증 취득 기간을 고려하면 의무대상 병원들은 내년 상반기 중으로 ISMS 인증을 신청해야 한다. 따라서 내년 상반기까지 ISMS 인증 취득을 위해 대형 병원들이 분주히 움직일 것으로 예상된다.

[테크M = 강진규 기자(viper@techm.kr)]