케이시큐어, 범부처 첨단 의료기기 사업 선정…ISMS-P에서 의료 융합보안으로 영역 확대

핵심 요약

- 케이시큐어가 범부처 첨단 의료기기 사업에 선정되어 2026~2028년 3년간 원격 모니터링 보안 기술 연구개발 참여 - ISMS-P 인증 컨설팅 전문 기업에서 의료 융합보안 분야로 사업 영역 확대 - 차의과대학교 주관으로 진행되는 본 사업은 의료기기 보안과 개인정보보호의 통합적 접근 필요

주요 내용

케이시큐어가 2026년부터 2028년까지 3년간 진행되는 범부처 첨단 의료기기 사업에 선정되었다. 이번 사업은 차의과대학교가 주관연구개발기관으로 참여하며, 케이시큐어는 원격 모니터링 보안 기술 분야를 담당하게 된다.

케이시큐어는 그간 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 컨설팅을 주력 사업으로 운영해왔다. 이번 범부처 사업 선정을 계기로 의료 융합보안 분야로 사업 영역을 확대하며, ISMS-P 컨설팅에서 축적한 개인정보보호 전문성을 의료기기 보안에 접목하는 새로운 시도를 하게 되었다.

원격 의료기기 모니터링 시스템은 환자의 생체정보, 진료정보 등 민감정보를 실시간으로 수집·전송·저장하는 특성상 높은 수준의 보안 요구사항이 적용된다. 특히 의료법, 개인정보보호법, 생명윤리법 등 복합적인 법적 규제가 적용되는 영역으로, 기술적 보안 조치와 관리적 보안 체계를 모두 갖춰야 한다.

이번 사업은 ISMS-P 인증 전문 기업이 의료 분야로 진출하는 대표적 사례로, 개인정보보호 관리체계가 의료기기 보안 분야에서도 핵심 기반이 됨을 보여준다. 케이시큐어의 사례는 ISMS-P 인증 컨설팅 기업들이 산업 특화 보안 서비스로 확장할 수 있는 가능성을 제시한다.

전문가 시각

의료기기 보안은 단순한 정보보호를 넘어 환자 안전과 직결되는 영역이다. 원격 모니터링 시스템의 경우 ISMS-P 인증기준 중 '민감정보 처리 단계별 안전조치', '의료정보 처리 시스템 보호조치', '전송구간 암호화' 등이 핵심 요구사항으로 적용된다. 특히 의료기관이 아닌 의료기기 제조·운영 기업의 경우에도 개인정보보호법상 민감정보 처리자로서 ISMS-P 인증 의무 대상이 될 수 있어, 초기 개발 단계부터 인증기준을 반영한 설계가 필수적이다.

케이시큐어와 같은 ISMS-P 전문 기업이 의료 융합보안으로 진출하는 것은 매우 바람직한 방향이다. 의료기기 개발 단계부터 ISMS-P 인증기준에 부합하는 보안 아키텍처를 설계하면, 향후 인증 취득 시 개발 재작업을 최소화할 수 있다. 다만 의료기기는 FDA, MDSAP 등 국제 의료기기 규제와 국내 의료기기법상 사이버보안 요구사항도 함께 충족해야 하므로, ISMS-P 인증기준과 의료기기 보안 표준(IEC 62443, IEC 81001-5-1 등)의 통합적 이해가 필요하다.

ISMS-P 심사원 체크포인트

1. 민감정보 및 고유식별정보 처리 (인증기준 2.8.2, 2.8.3) 원격 의료기기는 건강정보(민감정보), 주민등록번호(고유식별정보)를 필수적으로 처리한다. 개인정보보호법 제23조(민감정보 처리 제한)에 따라 정보주체의 별도 동의를 받아야 하며, 법 제24조의2(고유식별정보 처리 제한)에 따른 법적 근거를 확보해야 한다. 심사 시에는 ①민감정보 처리 목록 및 법적 근거 문서화, ②별도 동의 절차의 적법성, ③민감정보 암호화 저장, ④접근권한 최소화, ⑤처리 이력 로깅 등을 중점 점검한다.

2. 개인정보 전송 시 암호화 (인증기준 2.8.7) 원격 모니터링 환경에서는 의료기기-서버 간, 서버-의료진 단말 간 실시간 생체정보 전송이 발생한다. 개인정보보호법 시행령 제48조의2(암호화 조치 대상 및 방법)에 따라 정보통신망을 통한 개인정보 전송 시 안전한 암호 알고리즘(TLS 1.2 이상)을 적용해야 한다. 심사 시에는 ①전송구간별 암호화 프로토콜 적용 현황, ②취약한 프로토콜(SSL, TLS 1.0/1.1) 사용 여부, ③의료기기 펌웨어 내 암호화 모듈 구현 적정성, ④암호키 관리 절차를 확인한다.

3. 위험도 분석 및 개인정보 영향평가 (인증기준 2.1.3, 2.2.2) 새로운 의료 서비스 개발 시 개인정보보호법 제33조(개인정보 영향평가)에 따라 영향평가 수행이 필요할 수 있다. 특히 5만 명 이상의 민감정보를 처리하는 경우 의무 대상이다. 심사 시에는 ①개인정보 처리 위험도 분석 수행 여부, ②영향평가 대상 해당 여부 판단 근거, ③영향평가 수행 결과 및 개선조치 이행, ④Privacy by Design 원칙의 개발 단계 반영 여부를 점검한다.

CPPG·ISMS-P 연계 포인트

민감정보의 안전성 확보조치 강화 개인정보보호법 제23조 및 제29조는 민감정보 처리 시 일반 개인정보보다 강화된 안전조치를 요구한다. 의료정보는 대표적 민감정보로서 ①암호화 저장 의무, ②접근권한 세분화, ③처리 이력 관리, ④정기적 접근권한 검토가 필수다. ISMS-P 인증기준 2.8.2~2.8.4는 이를 구체적으로 요구하며, CPPG 시험에서는 민감정보 유형 구분, 법적 처리 근거, 안전조치 차별화 방안이 주요 출제 영역이다.

개인정보 영향평가(PIA) 실무 개인정보보호법 제33조는 대규모 민감정보 처리 시스템 구축·운영 시 사전 영향평가를 의무화한다. 원격 의료기기 플랫폼은 민감정보 대량 처리로 평가 대상이 될 가능성이 높다. ISMS-P 인증기준 2.2.2는 위험도 분석을 요구하며, 이는 영향평가의 기초가 된다. 실무에서는 ①평가 대상 여부 판단, ②평가 시기(구축 전·변경 시), ③평가 항목(개인정보 흐름도, 위험 분석, 보호조치), ④전문기관 의뢰 절차를 숙지해야 한다.