가톨릭중앙의료원, ‘의료 마이데이터 개인정보관리 전문기관’ 지정…데이터 보안 강화와 산업 표준 확립 기대

가톨릭중앙의료원이 2025년 12월, 보건복지부로부터 ‘의료 마이데이터 개인정보관리 전문기관’으로 지정됐다. 이로써 해당 기관은 국내 의료 분야에서 민감한 개인정보 처리와 보호 체계를 강화하는 역할을 공식적으로 맡게 된다. 보건복지부는 의료 마이데이터 사업을 통해 개인 건강정보가 다양한 의료기관·연구기관·보험사 등에 안전하게 공유·활용될 수 있는 환경을 마련하기 위해 전문기관 지정 제도를 도입한 바 있다. 지정 심사에서는 물리적·기술적 보안 인프라와 개인정보 유출 대응 역량, 내부통제 시스템 전반이 주요 평가 항목이 됐다.

12월 26일 기준, 가톨릭중앙의료원은 서울성모병원 등 산하 병원을 포함해 전국 단위 의료네트워크를 운영 중이다. 보건복지부 공식 발표와 유관 정보에 따르면, 이번 지정은 의료기관 중에서도 개인정보 보호 프레임워크를 실질적으로 설계·운영하고, 외부 감사 등에서 높은 평가를 받은 기관에 부여됐다. 업계 전문가들은 해당 지정으로 전국 단위 의료 시스템 내 개인정보 보안 수준이 한층 강화될 것으로 전망했다. 의료 마이데이터는 전자건강기록(EMR)·진료내역·처방정보 등 민감한 개인정보 집합체로, 최근 여러 차례 발생한 의료정보 유출 사고로 인해 사회적 관심이 높아져 있다. 실제 올 한 해 동안 크고 작은 해킹 시도와 정보 유출 사례가 연이어 보도된 바 있다.

전문기관 지정은 해당 의료기관의 데이터 관리 인력 확충, 데이터 암호화·접근제어 및 침해대응 시스템까지 신규 구축을 의미한다. 보건복지부는 개인정보의 안전한 활용과 보호를 동시 추구한다고 밝혔지만, 의료현장에서는 보안 강화가 곧 진료 편의의 저하, 서비스 지연 등 부작용으로 이어질 수 있다는 우려도 적지 않다. 가톨릭중앙의료원 측은 ‘데이터 기반 맞춤형 의료서비스 구현’과 ‘환자 중심의 정보주권 강화’를 내세웠다. 실제로 최근 국회 보건복지위원회, 한국인터넷진흥원(KISA) 등에서는 의료 데이터 활용의 필요성과 개인정보 보호의 균형 문제를 둘러싸고 장시간 논의가 있었다. 대한의사협회, 시민단체 등은 정보주체의 동의 및 익명화 수준, 비상 상황 시 데이터 접근 제한 여부 등을 집요하게 질의해왔다.

일각에서는 전문기관 중심의 관리 체계가 도입되더라도, 현행 의료기관 내 데이터 취급 실무 수준의 격차나 실제 의료현장의 인력 부족 문제가 여전하다는 목소리도 나온다. 실제 기자가 확인한 취재 현장에서는 환자 개인정보의 가명처리, 암호화 등 이론상 시스템과는 별개로, 실무 현장의 PC·모바일 기기 사용, 외부 자료 반출 등 보안 허점이 남아 있는 사례가 지적된다. 의료기관 자체적으로도 정보보호 담당자를 대폭 확충하는 식의 대응이 진행 중이나, 연이은 고도화된 사이버 공격에 대응하기엔 한계가 있다는 현장 반응도 있었다. 정보보호 관련 법제, 각종 산업 가이드라인도 새롭게 개정이 추진된다. 전국 의료기관 협회 측은 ‘특정 기관 지정이 전체 산업 보안표준 확립으로 이어질 수 있어, 중소병원에도 맞춤형 지원이 필요하다’는 입장이다.

운영원칙에 따르면 전문기관 지정 후에는 의료데이터 접근 전체 과정이 이중 로그, 접근 이력 기록, 실시간 침해 탐지 체계를 거치게 된다. 이와 함께 데이터 검증과 외부 보고 시스템도 신규로 도입되어 실제 의심행위 탐지와 통제 역량이 확대될 전망이다. 가톨릭중앙의료원뿐 아니라, 앞으로 추가 지정될 예정인 복수의 의료기관 역시 보안 역량 강화가 불가피하다. 업계 관계자는 “전문화된 정보보호 인력 양성, 물리적 통제 강화 등이 동시에 이루어져야 실질적 효과가 있다”고 지적했다. 의료 데이터가 인공지능 분석, 신약 개발, 건강보험 심사에 쓰이는 시대, 산업 활성화와 정보주권 보호라는 이중과제를 동시에 풀어야 하는 셈이다.

실효성 논란도 이어진다. 현장 취재에 따르면, 일부 환자단체에서는 “의료기관에게만 관리 책임을 넘기기보다는 외부 시민감시체계 강화, 환자 동의 절차 고도화 등도 병행해야 한다”며 본질적 체계 개선을 요청했다. 미국·EU 등 선진국에서는 개인정보관리 전문기관 지정과 동시에 자율 규제와 강도 높은 공공감시 시스템이 복합적으로 작동한다. 반면, 국내에서는 지정 이후 현장 실무 집행력과 모니터링 체계가 얼마나 실제 효과를 낼지는 앞으로 지속 검증이 필요하다는 지적이 많다. 정보보호 산업의 표준이 아직 유동적이라는 점, 중소·지방의료기관과의 격차 발생 가능성 역시 풀어야 할 숙제로 남아 있다.

전국적으로 민감정보 처리, 정보주권 강화, 연구 목적 데이터 활용 등 의료데이터 관리의 사회적 논의가 심화될 전망이다. 현재 복수의 민간 의료기관·데이터사업자·공공기관이 추가 지정 심사에 줄줄이 신청 중이다. 실제 환자·의료진·기업·정부 간 의견 차이, 의견 수렴 과정에서의 갈등 소지가 있는 만큼 조만간 세부 운영가이드와 추가 법령 논의가 이어질 것으로 보인다. 의료분야에서의 개인정보 전문기관 지정을 계기로, 산업 전반의 데이터 신뢰도와 시민정보 권리가 조화를 이룰 수 있을지 지켜볼 필요가 있다. — 이현우 ([email protected])