전자건강기록 보안·프라이버시·책임성의 현주소와 과제

초록

본 논문은 전자건강기록(EHR) 시스템에서 암호화 기반 보안·프라이버시·책임성 구현 시 핵심적인 키 관리와 사용자 감시 문제를 비판적으로 검토한다. 최근 연구들을 정리하고, 현재 접근법의 한계와 향후 연구가 필요한 구체적 공백을 제시한다.

상세 요약

논문은 먼저 기존 EHR 보안 연구가 암호화 기법을 채택했음에도 불구하고 키 관리 메커니즘을 충분히 다루지 못한다는 점을 지적한다. 특히, 대칭키·비대칭키의 생성·배포·갱신·폐기 과정이 의료 현장의 복잡한 조직 구조와 사용자 역할 변화에 적합하지 않으며, 키 손실·노출 위험이 시스템 전체의 신뢰성을 저해한다는 점을 강조한다. 기존의 패스워드 기반 또는 키 에스크로우(escrow) 방식은 관리 비용이 높고, 의료진의 업무 흐름을 방해한다는 실무적 문제를 안고 있다.

다음으로 책임성(accountability) 측면을 살펴보면, 현재 대부분의 연구가 접근 제어와 데이터 암호화에만 초점을 맞추고, 정당한 권한을 가진 사용자의 행위 로그 수집·분석·증거 보존 메커니즘을 소홀히 한다는 점을 비판한다. 의료 현장에서는 진단·치료 과정에서 실시간 데이터 접근이 필수적이므로, 과도한 감시가 임상의 업무 효율을 저해하면 안 된다. 따라서 ‘무방해 감시(non‑intrusive monitoring)’와 ‘증거 무결성 보장’을 동시에 만족시키는 설계가 필요하다.

논문은 최근 제안된 몇 가지 접근법—예를 들어, 속성 기반 암호화(ABE)와 블록체인 기반 감사 로그, 그리고 다중 기관 간의 키 분산 프로토콜—을 사례로 들어 장단점을 비교한다. ABE는 정책 기반 접근 제어를 가능하게 하지만, 정책 업데이트 시 전체 암호문 재암호화가 필요해 성능 병목이 발생한다. 블록체인 기반 로그는 변조 방지와 투명성을 제공하지만, 트랜잭션 처리량과 저장 비용이 의료 데이터의 대규모 특성에 비해 비효율적이다. 다중 기관 키 분산은 키 손실 위험을 감소시키지만, 신뢰할 수 있는 중개자 설정과 복잡한 프로토콜 관리가 추가적인 운영 부담을 만든다.

핵심 인사이트는 ‘키 관리와 책임성은 독립된 문제가 아니라 상호 연관된 시스템 요소’라는 점이다. 키가 안전하게 관리되지 않으면 암호화 자체가 무의미해지고, 책임성 로그가 부정확하면 보안 사고 발생 시 원인 규명이 불가능해진다. 따라서 설계 단계에서 ‘키 수명 주기 관리(Lifecycle Management)’와 ‘실시간 행동 감시·증거 보존’을 통합한 프레임워크가 필요하다고 주장한다. 또한, 사용자 친화적인 인증·키 회수 메커니즘과, 임상의 업무 흐름을 최소한으로 방해하는 ‘백그라운드 감시’ 기술이 병행되어야 함을 강조한다.

마지막으로 논문은 향후 연구 과제로 (1) 분산 아이덴티티와 영지식 증명(zero‑knowledge proof)을 활용한 무패스워드 키 교환, (2) 의료 데이터 특성에 최적화된 경량 블록체인 또는 DAG 기반 감사 로그, (3) 정책 변화에 따라 자동으로 키와 접근 권한을 재조정하는 동적 ABE 메커니즘, (4) 임상 워크플로우와 연동된 실시간 이상 행동 탐지 모델을 제시한다. 이러한 방향이 실현될 경우, EHR 시스템은 보안·프라이버시·책임성 삼위일체를 균형 있게 만족시키며, 의료 현장의 신뢰와 수용성을 크게 향상시킬 것으로 기대된다.