대학 병원 전산망 보안 실태 및 의식에 관한 연구

Abstract

[한글]

병원정보시스템에서 환자정보 보안은 근래에 많은 연구가 활발히 진행되고 있으며 주요한 이슈로 등장하고 있다. 그러나 병원정보 시스템 사용자의 환자 정보 보안의 의식 구조를 통해 정보유출 및 훼손에 영향을 주는 요인을 도출하고 상호관계를 분석하는 선행 연구는 미비한 상태이다.

본 연구에서는 대학병원 병원정보시스템을 사용하는 의사, 간호사, 원무과직원, 의무기록사, 전산원 등을 대상으로 보안위협요인과 보안부문 그리고 보안의식구조를 설문지를 통해 자료를 수집하고 통계 처리한 결과를 갖고 다음과 같은 연구결과를 얻었다.

첫째, PC 사용 연수가 많은 사람일수록 자료훼손 피해를 적게 본 것으로 나타났으며, 환자정보 보안도 잘하는 것으로 분석되었다.

둘째, 패스워드 관리를 잘하는 사람이 자료훼손 피해를 적게 보았으며, 비공식적 환자정보를 유출한 경험이 적게 나타났다.

셋째, 파일공유 사용자 인증을 하는 사람이 보안체계 만족도가 높으며, 타인 정보를 변경한 경험이 적게 나타났다.

넷째, PC 보안 조치를 하는 사람이 비공식 환자정보를 유출한 경험이 적은 것으로 나타났다.

하지만 OCS 사용경험, 보안교육 이수정도, PC 조작실력 등의 보안위협요인이 보안부문과상당한 상호 관계가 있다는 가정하에 본 연구를 시작하였으나 분석 결과 통계적으로 유의하지는 않은 것으로 분석되었다.

본 연구 결과를 토대로 다음과 같은 보안 정책을 제시하였다.

첫째, 패스워드관리는 보안부문과 밀접한 관계가 있는 것으로 나타나 사용자들에게 패스워드의 중요성을 인식시키고, 패스워드를 부여하는 전산실에서 사용자 패스워드가 주기적으로 변경되는 패스워드 관리 시스템이 구축되어야 한다.

둘째, 모든 집단에서 환자 기밀 정보 관리를 하지 않은 비율이 높게 나타났다. 환자 사생활 보호 정책수립이 필요하며 구체적으로 사용자 직급 직책별, 업무별 환자 정보 접근을 통제하여야 한다.

셋째, 보안교육을 이수한 사람이 타인정보를 변경하지 않은 경우가 높게 나타났으며, 비공식적 환자정보 유출이 의사 집단에서 높게 나타났다. 사용자에 대한 보안 교육을 주기적, 지속적으로 실시하여야 한다.

넷째, 보안체계 불만족 원인 중 가장 높은 비율을 차지한 '서버의 철저한 보안을 기한다' 와 파일공유 사용자 인증을 하는 사람이 타인정보 변경을 하지않고 보안체계 만족도가 높은 것으로 나타났으므로, 서버의 파일 사용 권한을 업무별, 직급, 직책별로 구분하여 각각 적절한 파일 사용권한을 부여하여야 하며, 운영체제에서 제공된 보안메커니즘을 충분히 활용하여야 한다.

다섯째, 의사 집단에서 전산망 보안조치 방안을 전산망 보안 책임자 선정이 높은 비율로조사되었다. 업무별 혹은 병원정보시스템을 관장하는 주무부서에 전산망 보안책임자를 두어 전체 보안시스템을 관장하여야 한다.

본 연구를 통해 보안부문에 영향을 주는 보안위협요인을 도출함으로써 연구결과를 토대로 병원정보시스템의 보안 정책을 제시하였다. 본 연구는 병원정보시스템을 사용하는 사용자를 대상으로 보안위협요인을 도출하고 이에 따른 보안정책을 제시하였으며, 이는 향후 병원정보시스템 보안정책 수립 및 사용자 전산망 보안교육 시행에 활용될 수 있을 것이다.

[영문]

Security on hospital management information system(HMIS) is increasingly become a major issue as order communication system(OCS) is widely used in hospitals. However, the study on the relationship between users and their perception on security of information has not been well studied. In this study, current status of security of HMIS was examined and the factors influencing the security problems were analyzed using the survey from the HMIS users.

The following result were obtained:

First, people who used computers for a long period of time had fewer damages on their files than others, and were good at securing patient information.

Second, people who managed passwords well had fewer damages on their files, and had less experience in using unauthorized patient information.

Third, people who shared their files with others had higher satisfaction level, and had less experience in changing other people's file without permission.

Fourth, people who worked with PC security system had less experience in using unauthorized information.

Based on the above results, the following security policies were recommended.

First, since managing a password is very important to the security system, managers should make the users fully understand the importance of password, and they should change the password

every week.

Second, patient's private information should be highly secured by imposing a strict access control on patient database.

Third, manager should provide an education on the importance of securing information to users every weeks.

Fourth, managers should secure the main server well and should give the authority to only certain people according to their position. They should also use the security devices well.

Fifth, each group should have a security manager to secure hospital information management system well.

In short, human aspects were found to be more important than technical aspects in dealing with security problems, and several managerial issues were discussed accordingly.