의료데이터를 기반으로 하는 서비스와 제품 출시가 이어지면서 업계 내에서 ‘보안’이 화두로 자리잡기 시작했다. 서비스 제공에서 성과가 끝나는 것이 아니라, 이제는 보안의 고도화도 함께 준비해야 한다는 의미다. 블로터는 김광훈 라이프시맨틱스 ICT 컨버전스연구소장을 만나 개인·민감 정보로 분류되는 의료데이터를 어떤 식으로 다뤄야 할지를 알아봤다.
Q. 간단한 소개를 부탁한다.
A. BIG 4 컨설팅펌 출신으로 기업의 보안관련 자문업무를 수행했으며, 일본 NHN 그룹에서 보안총괄을 담당했었다. 현재는 라이프시맨틱스 CISO(정보보호최고책임자)와 CPO(개인정보보호책임자)를 맡고 있다.
Q. 의료데이터가 가진 가치를 간단히 소개 부탁한다.
A. 병원이 가지고 있는 의료데이터는 많은 가능성을 내포하고 있다. 현재의 디지털 헬스케어 기반 서비스는 이러한 의료데이터를 토대로 가설을 세운 것을 검증하고 실증을 통해 실제로 적용이 가능하도록 만들어지는 흐름을 갖고 있다. 이 의료데이터를 활용하는 산업은 분석 방법이나 통계 방법을 통해 잘 분석이 되어야 그 서비스를 업그레이드하고 좀 더 고도화하고, 또 다른 새로운 서비스를 창출하는 방식으로 진화한다.
이를테면 고혈압이나 당뇨, 전립선암, 피부암 등의 발병 확률 등을 측정하는 모듈이 현재 정확도가 80% 이상이 되는 수준에 이르렀고, 수 년 내에 90%의 정확도를 가질 것으로 보고있다. 이는 수많은 데이터를 활용해 분석 기법을 고도화해서 이뤄진 결과물이다. 이러한 의료데이터를 촉진할 수 있는 법 체계가 있다면 이러한 서비스들이 더 품질이 더 높아질 거고 산업이 좀 더 발전할 수 있다.
Q. 의료데이터의 활용 가능성을 얘기했는데, 그렇다면 품질관리 측면에서 살펴보면 어떤가?
A. 의료데이터는 민감정보에 해당된다. 일반 개인정보보다 더 많은 관리가 필요하다. 이 정보를 취급하는 회사들은 어느 수준 이상의 보호할 수 있는 도덕적·기술적·관리적인 수준이 보장이 되어야 취급할 수 있다.
정보를 취급할 수 있는 그런 자격 조건을 줘야 하지 않을까 생각한다. 가장 쉽게 예를 들 수 있는 게 금융 분야에서 금융 마이데이터 사업자들은 심사를 통해 허가를 받고 사업을 영위하는 것으로 알고 있다. 의료데이터 또한 이러한 형태 등을 참고, 품질 관리 수준을 높여야 한다.
Q. 몇몇 업체는 보안에 비용이 들어가는 것을 꺼려할 수도 있을 듯 하다.
A. 그런 경우 결국 기업 입장에서는 손해로 다가온다. 처음에 보안을 고려하지 않고 서비스를 만들면 나중에 보안 취약점이 나올 경우 이를 개선하는 데 있어 굉장히 많은 비용이 든다.
뭔가 완전히 잘못돼서 다시 만들어야 된다면 롤백(되돌리기)을 해야 하고 이에 들어가는 시간과 인력, 비용이 커진다. 제대로 대응하지 못한 경우 규제에 걸려서 벌금 과태료 또는 영업정지까지 갈 수 있는 상황이 될 수도 있다.
Q. 비용적인 측면에서 보안 리스크가 크다는 점은 잘 알겠다. 그렇다면 라이프시맨틱스는 어떻게 보안 이슈에 대응하고 있는가?
A. 업계 분위기가 일단 사업 키우기부터 먼저 추진을 하고 있기 때문에 이 점은 우려된다. 라이프시맨틱스는 내부적으로 규격에 맞춰 설계하고 처음부터 철저하게 보안을 체크해 서비스 출시 대응이 빠르지 않은 경우도 있다.
라이프시맨틱스가 업계 최고 수준의 보안을 유지하고 있다는 점은 두 가지 측면에서 말할 수 있다. 외부로 잘 알려지진 않았지만 라이프시맨틱스는 개발 당시부터 보안 관련 서비스 품질 체크 과정이 많다. 그래서 다른 서비스보다 늦을 수 있다는 얘기다.
외부적으로는 의료데이터를 제공하는 의료기관으로부터 신뢰를 얻기 위해 국내외 보안인증을 4개 가지고 있다. 아마 업계 통틀어 가장 많을 것이다. 그 부분에 있어서는 저희 이미 ISO 시리즈 중에 보안과 관련된 인증이 꽤 있는데 그중에 4개를 가지고 있다.
(라이프시맨틱스는 ISO27001, ISO27017, ISO27701, ISO27799을 획득한 상태다. 각각 보안 인증·보안 프레임워크, 클라우드 서비스 제공자 국제표준인증, 개인정보보호경영시시스템 (PIMS) 인증, 의료정보보호 특화 경영시스템 국제표준인증이다.)
또한 미국의 개인 의료 정보보호와 관련된 규제가 있는데(HIPAA) 제3의 인증 기관으로부터 적합성 평가를 받아서 매년 갱신 중이다. 그 외 ISMS-p라고 정보보호관리체계, 개인정보관리체계 인증이 심사 중에 있다. 라이프시맨틱스는 의무대상은 아니지만 국내에서 보안을 이정도로 하고 있다라고 보여줄 수 있는 수준을 갖추려 한다.
Q. 아까 촉진법이라 하셨는데, 업계에서 촉진법을 필요로 하는 이유가 무엇인지?
A. 아직 국회에 관련 법안이 발의되지 않은 상태이긴 하지만, 업계에서는 촉진법이 필요하다는데 공감대를 형성하고 있다. 일단 촉진법을 바탕으로 의료데이터 분야에 대한 세부 정의나 지표, 용어에 대해 기준이 확립됐으면 하는 바람이다.
금융 관련, 신용정보 분야에서도 신용 정보라는 용어를 쓰지 신용 데이터라는 용어를 사용하지는 않는데, 의료데이터 분야만 이미 의료정보가 있는 상황 속에서 의료데이터를 별개로 정의하려는 움직임이 있다. 나름의 사연이 있어 별개의 용어가 생기는 것이겠으나 이렇게 용어가 계속 새로 나오는 등의 이유로 업계 내에서 혼선을 일으킬 수 있는데, 이러한 것들을 좀 최소화하면 좀 더 수월하게 산업 발전을 이끌 수 있을 것이라 본다.
이와 함께 산업 육성을 위한 지원을 위해서라도 촉진법이 필요하다. 디지털 치료제나 스마트 의료기기를 개발하는 업체에서는 보안 모의 해킹 등 이슈 점검을 위해 쓰는 비용을 감당하기 힘든 경우가 많다. 촉진법 등에서 규정해 바우처 사업 등을 응용, 기술 기반 스타트업이 제품과 서비스를 개발하는데 있어 좀 더 완성된 제품을 시장에 출시할 수 있도록 지원하는 방안이 필요하다.
아울러 또한 정부의 규제가 활성화를 위한 조항도 있겠지만 모든 것을 통제하기는 어려울 것인데, 정부에서 산업 분야에 자율적인 부분은 꼭 보장해주기를 바란다.
Q. 의료데이터 사업의 선도자로 자리매김하기 위한 라이프시맨틱스의 각오를 부탁한다.
A. 의미 있는 데이터를 찾아서 충분히 활용하는 제품을 만드는데 있어 의료데이터는 굉장히 중요하다. 라이프시맨틱스는 10년 전부터 정부 정책과제 통해서 디지털 헬스케어 서비스를 만들어왔다. 실제로 민간 업체가 사용하기 어려웠던 건강데이터 의료데이터에 접근해 가설을 검증하고 적용 가능한 서비스를 구축해왔다. 앞으로도 고객에게 신뢰받는 서비스를 제공하기 위해 노력하겠다.