[기획]정보보호는 필수 면역 체계이다
상태바
[기획]정보보호는 필수 면역 체계이다
  • 병원신문
  • 승인 2017.01.02 08:22
  • 댓글 0
이 기사를 공유합니다

김기홍 미래창조과학부 사무관
인증 수수료 감면, 교차인증 범위 확대
▲ 김기홍 사무관
“인간의 역사는 바이러스와의 끊임없는 투쟁의 역사이다”라고 세계적 병리학자인 토벤버거(Jeffery Taubenberger)가 말했다. 지금도 공기 중에는 수많은 바이러스가 떠돌아다니면서 인간을 끊임없이 공격하고 있다. 바이러스도 살아남기 위하여 스스로 진화하고 변종되면서 더욱 강해지면서 인류를 괴롭히고 위협하고 있다.컴퓨터와 함께 출연한 최초의 컴퓨터 바이러스는 1987년에 나온 ‘브레인 바이러스(Brain Virus)’이다. 파키스탄에 살던 알비 형제는 불법 복제 때문에 자신들의 프로그램이 안 팔린다는 것을 알고, 불법 복제 사용자를 골탕 먹이려 PC메모리를 7KB 감소시키는 바이러스를 퍼트렸다. 1988년에는 미국에서 네트워크를 마비시킨 모리스 웜이란 사람 이름을 딴 웜(Worm)이 퍼지기 시작했다.

이후에 바이러스와 웜 등 악성코드는 수많은 변종을 만들어 내면서 진화하고 있다. 최근에는 다양한 암호기술과 결합되어 기존 보안 솔루션과 시스템을 우회하여 탐지가 점점 어려워지고 있다. 보안 회사 시만텍에 따르면, 난독화(亂讀化)와 변종으로 탐지가 더욱 어려워진 악성코드가 매월 약 1억 건 정도 나타난다고 한다. 전 세계가 인터넷으로 연결되면서 정체불명의 극히 위험한 바이러스들도 빛의 속도로 인터넷을 떠돌아다니면서 우리의 정보통신 시스템을 호시탐탐 노리고 있다. 방심하면 누구라도 해킹과 개인정보 유출의 피해자가 될 수 있다.

올해 7월 인터파크가 지능형지속위협(APT)공격을 당하여 휴면계정 포함 총 2,665만 건의 회원 개인정보를 탈취 당했다. 인터파크는 강화된 정보통신망법의 정보보호 책임 규정에 따라 역대 최대인 44억8000만원의 과징금을 부과 받았다. 공격자는 인터파크 직원 가족을 가장하여 악성코드를 첨부한 이메일을 보내서, 개인정보취급자의 PC 제어권을 획득하여 회원 개인정보를 탈취해갔다.

우리나라 대형 의료기관 및 병원에서도 끊임없이 해킹 사고가 발생하고 있다. 올해 2월에 국내 C병원 소유의 미국 병원(LA소재)에서 해커들의 공격으로 네트워크가 일주일 이상 마비되어 환자 데이터에 접근을 못하고, CT 촬영 등 임상 검사가 상당한 차질을 빚은 적이 있다.

또한 작년 5월경 해커가 사용한 것으로 추정되는 해외서버에 국내 의료기관 30여 곳의 업무용 공인인증서 수백 개가 유출되어 있는 것을 발견하여 폐기한 일이 있으며, 유명 대학병원의 전산망이 해킹되고도 8개월이나 방치된 사고 등 드러나지 않는 사고까지 포함하면 하루도 방심할 수가 없는 상황이다.

공기속 수많은 바이러스의 위험 속에서도 사람이 건강하게 사는 것은  바이러스에 대항하는 건강한 면역체계를 가지고 있기 때문이다. 마찬가지로 매월 1억 건 이상의 악성코드의 바다에서 안전하게 컴퓨터와 인터넷을 사용하려면 컴퓨터 바이러스에 대한 면역체계를 갖추어야 한다.

컴퓨터 면역체계는 사람이 바이러스에 대항하는 방역 활동과 유사하다. 이는 주기적 감염 검사와 치료, 바이러스가 창궐하는 도박 등 불법 사이트 가지 않기, 외부로부터 바이러스 유입 통제 등 사람의 바이러스 방역과 거의 같다. 우리가 면역체계를 유지하기 위해 건강과 보건에 투자와 노력을 하듯이, 정보보호 면역 체계도 역시 노력과 투자가 있어야 중요하고 민감한 정보를 지킬 수 있다.

그 동안 미래부는 민간 부분이 정보보호 면역체계를 잘 갖추도록 다양한 지원과 교육을 실시해 오고 있다. 하지만 정부의 이러한 노력에도 불구하고 발견하기 어려운 악성 바이러스는 계속 증가하고 있고, 해킹 사고 빈도와 규모가 커지고 있어 국민들의 불안감 또한 커지고 있다.

이와 관련하여 미래부는 올해부터 매출액이 천오백억 이상이며, 민감정보를 보유하고 있는 상급 대형 병원들은 정보보호 관리 활동에 대하여 외부기관을 통해 객관적인 인증을 받도록 의무화하였다. 미래부와 한국인터넷진흥원이 시행하고 있는 정보보호관리체계(ISMS) 인증은 정보보호를 위해 꼭 준수해야할 104개의 항목을 기준으로 제시하고, 전문 심사기관을 통해 이의 준수 여부를 확인하여 일정 수준 이상이면 인증을 부여하는 것이다.

이러한 의무화가 가뜩이나 어려운 병원 경영에 적지 않은 부담이 될 수 있음을 잘 알고 있다. 하지만 정보보호 관리체계를 하루 빨리 든든하게 구축하여 정보통신 시스템과 민감한 정보를 안전하게 보호하여 병원을 이용하는 국민들의 우려를 불식시키려는 노력 또한 멈출 수 없다. 어려운 환경에도 이러한 국민적 우려 해소를 위하여 솔선수범 해주신 병원 관계자 여러분의 노고와 이해, 투자에 깊은 감사를 드린다.

물론 면역체계가 있어도 바이러스에 감염되듯이 ISMS 인증을 취득했다고 해킹 사고를 100% 막을 수는 없다. 극히 일부지만 인증 취득 기업 중에 순간의 방심으로 문제가 생긴 곳도 있다. 2013년 이후 총 1,468건의 인증 대비 해킹사고는 총 4건으로 전체의 약 0.27%에 불과하여, 인증을 받은 기업들은 해킹 등 사고에 대하여 강한 대응역량이 있음을 증명하고 있다. 마찬가지로 해커 입장에서도 정보보호를 잘하고 있는 인증 취득 병원을 공격하기보다 더 취약한 곳을 공격하는 것이 해킹성공 확률을 높일 수 있으므로, ISMS인증 자체가 공격 대상의 스캔에서 제외되는 효과도 누릴 수 있다. 

이러한 취지에 따라 미래부는 복지부, 인증 대상 병원 등과 협력하여 우리 병원의 정보보호 관리체계를 향상시키기 위하여 크게 세 가지를 추진할 것이다.

첫째는 병원들의 ISMS 인증 취득을 위한 준비과정상의 애로사항 해소에 노력하겠다. 인증 과정에 대한 상담 및 가이브 북 배포, 직원 교육 등을 실시하여 무리없이 인증을 받도록 노력하겠다. 둘째는 병원 실정에 맞는 의료분야 인증심사 기준을 마련하고, 장기적으로 의료분야 전문 심사기관을 지정을 통해 보다 현실적인 인증이 되도록 하겠다. 셋째는 병원의 인증 심사 부담 감소이다. 인증 수수료를 감면하고, 기존 취득한 ISO 27001, 개인정보보호 관리체계(PIMS) 등을 고려하여 심사항목 일부생략 등 교차 인증 범위를 확대하고자 노력하겠다.

인간이 존재하는 한 바이러스가 존재하듯이 컴퓨터가 있는 한 바이러스와 해커는 없어지지 않는다. 미래부는 정보보호 수준 향상을 향한열정과 열린 마음으로 해당 병원, 관계부처와 적극 협력하여 우리나라 의료기관의 정보보호 면역체계를 더욱 튼튼하게 만들고자 한다. 또한 병원 친화적인 인증 환경이 되도록 병원 측의 요구 사항을 앞으로도 적극 반영하도록 할 것이다. 마지막으로 불철주야 병원의 정보보호를 위해 힘쓰시는 관계자 분들의 노고와 노력에 다시 한 번 깊은 감사와 존경을 드린다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사