의료기관에서 환자의 영상 정보를 디지털로 처리할 때는, 단순히 시스템을 연동하고 저장하는 기술적 측면만 고려해서는 부족하다.
특히 국내에서는 개인정보 보호법, 의료법, 정보통신망법, 보건복지부 지침 등 복수의 법률과 기준이 동시에 적용되기 때문에 "의료영상 시스템(PACS, EMR, AI 분석 서버 등)"을 설계하거나 운영할 때는 법적 준수 요건과 보안 인증 기준을 반드시 이해하고 따라야 한다.
또한 최근에는 의료기록의 전자화 수준을 평가하는 EMR 인증제도와 의료 데이터의 안전한 활용을 위한 비식별화 가이드라인 등이 시행되면서 영상 시스템의 보안·기록 신뢰성·접근제어에 대한 기준도 점점 엄격해지고 있다.
이번 글에서는 병원 정보 시스템과 의료영상 연동 시 적용되는 국내 보안 법제도와 인증 요건을 항목별로 명확히 정리하고, 실무에서 자주 마주하는 오해나 실수도 함께 설명한다.
1. 주요 법적 기준 요약
| 법령/지침 | 적용 대상 | 주요 내용 |
| 개인정보 보호법 | 모든 의료기관 | 환자 정보 보호, 암호화, 접속기록, 접근통제 |
| 의료법 제21조 | 의료정보 전자 관리 | 진료기록 보존, 무결성 유지, 폐기 기준 |
| 정보통신망법 | 인터넷 기반 서비스 | 네트워크 암호화, 침해사고 대응 |
| 보건복지부 EMR 인증 기준 | EMR 시스템 | 기록 변경 추적, 진료정보 로그, 접근 권한 관리 |
| 보건복지부 비식별화 가이드라인 | 연구/공유용 데이터 | DICOM 익명화, 식별자 제거, 재식별 방지 조치 |
2. PACS 시스템 구축 시 필수 보안 항목
PACS 서버, 뷰어, 전송 시스템은 다음과 같은 보안 항목을 충족해야 한다.
🔐 암호화 저장
- 영상 파일 및 메타데이터는 저장 시 암호화 권고
- 민감 태그 (0010,0010 – 환자명, 0010,0030 – 생년월일 등)는 별도 암호화 저장 또는 DB 분리 저장 권장
🔐 전송 암호화
- 내부망 또는 외부망 통신 시 TLS 기반 DICOM 통신(DICOM over TLS) 필요
- WADO-RS, QIDO-RS 사용 시 HTTPS 적용 필수
🔐 접속 로그 기록
- 영상에 접근한 사용자 ID, 시간, 액션 기록 필수
- 로그 위변조 방지를 위한 디지털 서명 또는 무결성 해시 활용
🔐 사용자 인증 및 권한 관리
- 의료진, 관리자, 기술자 등 역할에 따라 접근 권한 구분
- 2차 인증 또는 SSO 연계 필요 시 시스템 통합 고려
📌 보안 항목 미충족 시, 의료기관 인증 평가나 정보보호 컨설팅에서 감점 또는 시정 권고가 발생할 수 있음.
3. AI 서버 및 외부 분석 시스템 연동 시 보안 고려사항
| 항목 | 기준 |
| 데이터 전송 방식 | 내부망 기반 또는 VPN, 암호화 전송 필수 |
| AI 결과 저장 방식 | 원본 DICOM과 분리 저장 또는 Overlay 방식 |
| 비식별화 여부 | 환자정보 포함 시 비식별화 적용 의무 |
| 서버 위치 | 외주 AI 업체 서버 사용 시 위탁관리 계약 + 보안관리대장 작성 필요 |
| 접근 권한 통제 | AI 서버 접근 권한은 영상관리자 또는 임상연구책임자에 한정 |
4. 클라우드 기반 PACS 또는 영상 공유 시 요구사항
클라우드 기반 저장소, 영상 공유 플랫폼을 사용할 경우 법적으로 더 엄격한 조건이 적용된다.
주요 요건
- 클라우드 서비스 사업자는 정보보호 관리체계(ISMS) 인증 필수
- 영상 전송은 HTTPS, VPN 또는 전용 터널링 방식 사용
- 저장된 영상은 암호화 + 분산저장 + 무결성 검증 구조 권고
- 해외 서버 사용 시, 환자 동의서 및 명시적 고지 필요 (의료법 제27조의2)
5. 실무자가 자주 혼동하는 보안 이슈
| 오해 | 실제 기준 |
| “내부망이니까 암호화는 안 해도 된다” | ❌ 내부망도 전송 암호화 권장됨 |
| “AI 서버는 연구용이니까 개인정보 규제 안 받는다” | ❌ 연구용이라도 비식별화는 필수 |
| “공유는 PDF 리포트만 하니까 PACS는 규제 안 받는다” | ❌ 영상이 아닌 리포트라도 개인정보 포함 시 규제 대상 |
| “ActiveX 뷰어는 오래됐지만 문제 없다” | ❌ 보안 취약점 위험으로 교체 권고됨 |
6. 보건복지부 EMR 인증 기준과 PACS 연동 관련성
EMR 인증을 준비 중인 병원에서는 다음 항목들이 PACS 연동 구조에 영향을 준다:
- 영상 뷰어 접근 로그 기록
- 영상 판독결과 변경 이력 저장
- EMR 내 영상 리포트 연동 시, 원본 위·변조 방지 필요
- 결과 리포트의 진본성 검증 체계 요구 (전자서명 또는 해시 기반)
📌 EMR-PACS 연동 구조가 인증 대상이 되는 사례가 많아지고 있음.
결론
의료영상 시스템의 연동 구조는 단순히 기술적인 효율만으로는 완성되지 않는다.
환자정보 보호, 법적 책임, 시스템 간 신뢰성 확보를 위해서는 국내에서 요구되는 보안 및 인증 기준을 정확히 이해하고 이를 기술 구조에 반영해야 한다. 암호화 저장, 전송 보안, 접근 통제, 비식별화 등은 선택이 아닌 법적 필수 항목이며, 이를 기반으로 한 설계가 병원 정보 시스템의 안전성과 지속 가능성을 결정짓는다.
다음 글에서는 티스토리 블로그에서 이런 내용을 어떻게 SEO 최적화 콘텐츠로 전개할 수 있는지를 설명한다.
'개발 > DICOM 이야기' 카테고리의 다른 글
| 29. 국내 병원의 EMR, OCS, PACS 연동 실태 및 구조 분석 (2) | 2025.08.01 |
|---|---|
| 28. 국내 의료기관에서 사용되는 PACS 구조의 실태와 특징 (3) | 2025.07.31 |
| 27. 의료 IT 신입을 위한 DICOM 학습 로드맵 (2) | 2025.07.31 |
| 26. 실제 병원에서 DICOM이 활용되는 사례 분석 (1) | 2025.07.31 |
| 25. 의료영상 디지털화 흐름과 DICOM의 미래 (1) | 2025.07.31 |