데이터ㆍ분석 / 보안

기고 | 의료서비스 ‘빅 데이터’ 관리, 그 해결방안을 찾아라

Simon Taylor, Jay Savaiano | ITWorld 2012.10.09
의료서비스 관련 데이터가 끊임없이 증가하고 있다. 이에 따른 데이터 유지관리가 의료기관 IT 담당자의 주요 업무로 대두됐다. 그리고 최근 들어 의료 관련 법안들이 속속 제정되면서 개인 정보보호 문제가 의료서비스의 화두로 등장했다. 이와 관련된 의료기관의 원터치 데이터 관리 접근법을 알아본다. 
 
미국의 의료서비스 개혁은 보안∙보호∙색인∙유지∙삭제되는 엄청난 양의 환자 데이터를 만들어냈다. HIPAA(연방의료보험통상책임법)에 적용되는 새로운 건강정보기술법안(HITECH) 개인 정보보호와 보안 규칙들을 만들어낸2009년 ARRA(American Recovery and Reinvestment Act) 이후로 의료서비스 IT 부서들은 더 철저한 데이터의 식별과 유지를 요구하는 새로운 업무를 받아들였다.  
 
HIPAA 자체는 환자의 사생활, 환자 기록 보안, 전자 의료서비스 업무, 보호된 건강정보(PHI)의 식별 및 준수의 정의와 집행 방식에 관한 구체적인 규율에 초점이 맞춰져 있다. 데이터 침해에 대한 수백만 달러의 처벌 위협에 더불어, 의료서비스 업체들은 대규모 위반 사항에 대한 곤란하고 사업에 손실을 줄 수 있는 공개에도 대처해야만 한다. 
 
최근 미국 유타주에서는 해커들이 메디케이드(Medicaid) 서버에 침입해 어린이 건강 보험 프로그램에 등록된 78만 명의 온라인 건강 기록을 훔쳐간 사건이 있었으며, 이 중 28만 명은 사회보장번호까지 도난당했다. 유타의 주지사는 기자회견에서 기술 보안시스템의 자체적인 감사와 서버에서 삭제됐어야 할 정보가 기록으로 남아있었던 이유 등을 포함한 모든 부분에 대해 해명해야만 했다. 
 
이 사고를 포함해 2009년부터 현재까지 대중에게 공개된 주요 위반 사건들은 무려 400건에 육박한다. 부적절한 제도와 기술로 인해 일어난 사고들을 제외하고도 노트북, 태블릿과 스마트폰 등의 모바일 기기로 환자 데이터를 보는 경우가 늘어난 경향으로 미뤄 보아 이런 사건은 폭발적으로 증가할 수 있다. 
 
그러나 이는 의료서비스 업체가 전체를 사용하건 클라우드 기반 소프트웨어 애플리케이션을 사용하건, 주요 정보를 어디에 보관하고 어떻게 접근하며 기록하는지에 대한 명확하고 효과적인 규정만 지킨다면 이야기는 달라질 수 있다.
 
데이터 보안에 대한 경제적 과제
대부분의 의료서비스 IT 기업들에게 있어, HIPAA의 규정 하에 끊임 없이 변화하는 모든 데이터를 유지하는 일은 매우 힘들고 비용이 많이 드는 문제라고 할 수 있다. 전통적으로 의료서비스 정보를 정리하는 데, 일정 기간 동안 방출이 한정될 경우 데이터가 무질서하게 확산되고 수백 개의 사일로(silo)에 저장 ∙ 복제돼 있던 정보가 기업 내 퍼지는데 제한적 준수가 적용됐었다.  
 
데이터 과잉 관리 현상은 사본 관리에만 불필요한 IT 자원을 따로 투자해야 하는 상황을 만듦으로써 이로 인한 금전적인 영향은 무시할 수 없는 지경에 이르렀다. 더불어 데이터 집중적인 의료 영상과 전자 의료 기록이 엄청난 양의 저장공간을 차지하는 ‘빅 데이터’로 분류됨에 따라, 인프라 부문에 있어 고려해야 할 주요 부문이 존재하게 됐다. ESG(Enterprise Strategy Group)에 따르면, 의료 영상기록을 포함한 빅 데이터는 폭발적인 데이터 팽창을 초래하고 있으며 전세계의 복합적 연 성장률(CAGR)인 110%의 절반인 55%를 차지하고 있다. 
 
의료 서비스 업체의 흔한 관례 중 하나는 데이터 확장과 유지를 전체적인 시각에서 보기보다 특정 정보에 따라 맞춤형으로 나온 최상의 솔루션들을 구입한다는 것이다. 따라서 광범위한 데이터 확장에 대한 대처는 항상 저장 공간만 더 확보하는 식이였고, 이는 오히려 제한된 IT 예산에 타격을 입히며 운영과 준수에 관한 문제만 늘려왔다. 
 
이런 문제와 더불어 비활성화된 데이터를 비싼 디스크 저장소에 보관해 불필요한 데이터가 기업 전체의 사일로에 무작위로 급증하는 사태를 초래했다. 목적을 가지고 만든 사본과 우연히 복제된 데이터를 구분하게 된다면 비용 문제의 해결이 훨씬 쉬워질 것이다.
 
전통적인 의료서비스 정보 ‘사일로(silo)’ 
많은 수동 클론으로 이어질 작업 데이터 사본을 바탕으로 한 적극적인 애플리케이션과 시스템을 통해 의료 서비스 제공 기업에서 만들어진 전형적인 정보의 유형들은 백업 및 보호 복구 사본, 확장성 및 컴플라이언스 유지를 위한 규제된 데이터 사본에 대한 아카이브된 사본을 포함한다. 데이터 보안∙식별∙유지∙삭제하는 방식에서의 PHI를 다루는 데 있어 모두 HIPAA에 준수해야 하므로, 이런 모든 과정들이 특별히 관련이 많다고 할 수 있다. 
 
대부분의 단체에 있어 정보의 라이프사이클은 생성에서 처분까지의 많은 과정들을 무시한 채 분리돼 있는 단계들로만 간주된다. 이는 연결성과 연관성이 없는 데이터가 산업, 단체, 부서와 개인의 유지 요구에 따라 자동으로 반응해 정보 누출 위험이 있는 곳에 저장되는 사태를 초래했다. 데이터 기록보관소(archive) 역시 팽창하는 애플리케이션을 완화시키거나 파일 시스템에 있는 데이터의 비용을 절감하는 데에 좁은 시야의 전략을 구축함으로써 비슷한 형태로 진화했다. 이런 타당한 근거들이 있음에도 불구하고 연관성, 기관, 미래 장애극복 등에 대한 별다른 고려 없이 시행되고 있다. 
 
간과되는 가장 대표적인 문제들 중 하나는 콘텐츠가 유지되도록 만들어진 시스템과 엮인 메타 데이터와 관련 있다(예: 의료 영상 표기). 예를 들어, HIPAA 45 CFR 규정 162.1000은 보관 기록을 ICD-9, ICD-10과 HCPCS를 포함한 특정 개요에 반대돼 코드화 하도록 권장한다. 이 표기 혹은 메타 데이터 역시 미래의 더 정확한 장애극복을 위해 보관 기록들과 함께 유지돼야 한다.
 
불행히도, 효과적이면서 효율적인 기록관리는 비싼 사일로, 전통적인 접근법과 대물림 되는 시스템에 의해 마비됐으며, 이에 따라 합법적인 발견과 준수 감사에 대한 정보의 인지와 사용이 간소화되지 못했을 뿐만 아니라 각각의 개인 정보 요구와 내부 노출 행사에 대한 대응 역시 신속하게 처리하지 못하게 됐다. 결국 PHI 규율은 단체의 수준 높은 실행과 기술의 혁신 대신 위반과 처벌로 시행됐다. 다행히 진보적이고 전략적인 데이터 아카이빙의 출현은 의료 IT기업에 있어서의 위험을 완화시키고 있다. 
 
의료 데이터 유지에 대한 새로운 접근법
전체적인 데이터 관리와 유지의 주요 원칙들을 받아들이는 의료 서비스 단체들은 개개인은 물론 단체 전체의 요구 사항에 효과적이고 효율적으로 대응할 수 있다. ‘정보 라이프사이클 관리’의 여섯 가지 주 원리들은 의료 서비스 IT팀들이 유지 요구 사항들을 잘 관리할 수 있는 법에 단도직입적인 관점을 제공해 주는 좋은 참조물이다. 주 원리들로는 구상, 확산, 개발, 수정, 유지, 처분 등이 있다. 
 
더 긴 주기의 데이터 유지를 고려한다면 라이프사이클 개념뿐만 아니라 3년, 5년, 7년, 10년, 15년 혹은 무기한으로 유지할 때 데이터 변화를 어떻게 가늠할 수 있는지에 대해 생각하는 것이 중요하다. 분명 데이터의 나이만큼 변화도 생길 것이고, 데이터 이동에 대한 탄탄하면서도 민첩한 전략을 개발하고 실행하며 미세한 수준에서도 패시브(passive) 데이터에 대한 유지 법을 적용하는 것이 매우 중요하다. 미래의 동향에 대처할 수 있는 유연성을 제한하지 않으면서 현 HIPAA 준수의 지향성을 감안하는 것 역시 중요하다. 
 
현재의 정보 유지 역량은 물론 유지 속도, 효력과 효율성을 개선할 동기와 접근법에 대한 평가는 좋은 시작점이다. <도표 1>에서 강조하듯, 아카이빙의 다른 단계들은 기업이 어떻게 IT스토리지 부담, 기록 준수 및 정보 접근과 장애극복을 이끌어 내는지에 따라 보여질 수 있다.
 
통합적인 전략적 아카이빙의 5가지 단계
 
전체적인 관점의 일부로, 기업들은 개선된 접근성 및 낮은 위험에 대한 유지와 관리를 어떻게 만들어 나가는지에 대해 알아내기 위해 가장 중요한 디지털 자산이 어디에 있는지 식별할 필요가 있다. 예를 들어, 패시브 데이터 기록 보관의 실제 비용은 데이터가 보관소에서 유지되는 방식이 아닌 보호되는 방식에 달려있다. 
 
보관된 데이터의 1TB는 10TB 또는 더 많이 늘어날 수 있는데 이 때 데이터 자체는 변하지 않는다. 라이브 애플리케이션과 시스템에 있는 액티브 데이터 역시 보호되며 다양한 경우를 위해 복사된다. 양쪽 경우 모두 유지에 대한 통합적인 라이프사이클 접근법을 제시하지는 않는다.
 
‘의료 데이터 관리는 전략적 아카이브로 해결’
데이터 관리 기술의 발전 덕에 의료 서비스 단체들은 기업 데이터 유지에 가까워졌다. 이제 백업과 기록 보관소 모두의 데이터가 처리되는 방식을 통일하는 것이 가능하며, 이는 통합되고 빠른 데이터 라이프사이클 관리를 위한 원터치 접근법을 제공한다. 
 
더불어, 기업 내 무제한 검색의 수렴은 발견과 보존의 법적 부담을 줄이면서 기업의 다양한 관계자들이 정보에 접근하는 과정을 간소화시킨다. 보호에서 폐기까지, 데이터를 한 곳에 두는 통합 데이터 관리는 여러 장점들을 제공한다. 이런 접근법은 기업의 CIO에서 IT 관리자까지 모두에게 이익을 제공한다. 
 
예를 들어, CIO들은 장기적 유지비와 정보 관리 위험 부담을 줄이는데 필수적인 사업 관련 주요 정보와 그의 역할에 대한 하향적인 관점을 얻게 된다는 이점이 있다. IT 관리자들은 지금부터 미래에도 스토리지 관리에 있어 개선된 운영 효율성과 유연성으로 데이터 관리 라이프 사이클을 통해IT 비용을 직접 절감할 수 있다. 주요 메타 데이터 확보의 과제들도 효과적인 아카이브 솔루션들이 일관된 미래 장애극복을 가능케 하는 방식으로 유지되는 한 데이터를 포착하거나 기록들을 분류할 수 있음으로써 한결 수월해질 것이다. 
 
그 예로, HIPAA 45 CFR 164.552와 164.524에 있는 환자 권리들은 주로 쉽게 수용이 가능한 환자 식별자 에 따른 PHI의 신원확인과 공개를 요구한다. 의료 서비스 IT와 모든 단체에 주어지는 또 하나의 중요한 이득은 현존하는 데이터 관리의 완전한 변화를 요구하지 않으면서도 단체의 우선순위, 규제 요구 사항 혹은 관리 문제의 잦은 변화에 맞춰 갈만큼 유연한 아카이브 솔루션 덕분에 생산 시스템의 부담이 줄어든다는 것이다. 
 
전략적 데이터 기록관리는 의료 서비스 IT 부서들이 가상적으로나 물리적으로 관리할 때에 라이선스 문제와 더딘 성장을 줄이면서 수행 효율성을 끌어올리도록 해준다. 기업 법률 부서들은 드디어 한번의 클릭으로 법적 콘텐츠를 보존하므로 소송 위험과 비용을 절감할 수 있고 발견 과정 초기에 증거를 확보할 수도 있다. HIPAA 기록/준수 부서들은 개선된 기록 정리, 동시 통합된 유지와 처분 덕분에 수월해진 감독, 감시와 감사 과정을 통해 더욱 쉽고 포괄적으로 산업 규정을 따를 수 있다. 이런 권한 부여는 전체적인 효율성과 규제 준수를 개선시킬 뿐만 아니라 기업과 환자의 장기간 복지에 대한 위험 부담도 줄여준다. 
 
*사이몬 테일러(Simon Taylor)는 컴볼트의 정보관리 책임자로, 콘텐츠 기록관리, 기록 유지, e-디스커버리, 준수, 검색과 회수 등의 정보 유지와 관리에 대한 현대적인 접근법을 제시하고 있다. 
*제이 사바이아노(Jay Savaiano)는 컴볼트의 의료서비스 사업 개발 책임자로, OEM과 재판매업자 간의 관계를 확산해 나가는 데에 매진하고 있다. 더불어 임상과 운영적 환경에서 데이터 보호, 유지와 접근을 위해 컴볼트 기술을 도입시키려 PACS와 임상 애플리케이션을 판매하는 독립 소프트웨어 업체들과 협력하고 있다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.