2016년 보건복지부와 한국보건산업 진흥원이 발간한 [의료기관을 위한 정보보호 안내서(“보건의료정보화를 위한 진료정보교류 기반 구축 및 활성화”연구)]를 발간했다. 이 가이드라인은 병원급 의료기관과 의원급 의료기관, 보건기관등이 기관 내외부에서 일어날 수 있는 정보보호 사고를 사전에 예방하고 보건의료기관에서 처리되는 다양한 정보들을 효율적으로 보호하고 관리 할 수 있도록 정보보호 정책을 수립하고 시스템을 구축하기 위한 지침서 이다.
인터넷이 발달하고 4차 혁명 시대가 본격화 되면서 병원 시스템에 대한 공격도 증가하고 있으며 실 예로 랜섬웨어, APT 공격등에 노출되어 시스템 마비 되거나 환자 정보가 유출되어 2차 피해가 발생 해 그 피해가 상당히 커지는 상황으로 의료 정보보호의 중요성은 점점 커져가고 있다, 이에 발맞추어 ISMS 인증 대상이 되는 대형 상급 병원이나, 일부 중소 병원들은 개인정보보호법, 정보통신망법 등에 따라 관련 정책을 수립하고 시스템을 구축하여 운영하고 있는 상황이다.
의료보안의 문제점
그러나 중앙대 의료보안 연구소에 따르면 우리나라 중소병원 10곳 가운데 2곳은 보안 수단이 PC 백신 설치 수준에 머무르는 것으로 나타났다. 사실상 사이버 공격에 무방비 한 상태이다. 중앙대 의료보안연구소가 100~300개 병상의 중소병원 300곳을 조사한 결과에 따르면 전체 23.3%가 보안 시스템으로 PC 백신에 의존하고 있는 것으로 나타났으며, 데이터베이스(DB), 네트워크 보안 시스템을 구축한 비율은 각각 21.3%와 17.3%에 그쳤다. 접근 통제 권한 관리와 전자정보 암호화 시스템을 구축한 곳도 각각 31.3%, 24.6%에 불과했다.
보안 중요성 인지와 투자 사이에는 모순된 현상이 발생했다. 중소병원 300곳의 76%가 정보 보호는 중요하다고 인식했다. 중소병원 절반 이상(57%)이 의료 보안 사고 발생 가능성이 높다고 응답했다. 반면에 의료 정보기술(IT) 서비스의 투자 금액 대비 정보 보호 투자 비율은 평균 7.5%에 그친 것으로 드러났다. 의료 정보 보호 전담 직원을 보유한 중소병원은 2.7%뿐이었다.(출처 : 스마트의료보안 포럼)
이렇게 보안에 대한 인식은 높으면서도 투자가 낮은 이유는 중소병원의 경영난이다. 병원산업 허리인 중소병원은 정부 정책이 대형병원(상급종합병원)과 동네의원에 집중되면서 지원 사각지대에 놓이게 되어 경영난에 허덕이고 있다. 근본적인 문제 해결은 정부가 규모별 의료기관 역할을 명확히 재정립하고 중소병원 육성을 위한 지원책과 비전 제시도 필수로 필요해 보인다.
의료보안의 현 상황과 문재해결 방안
현시점에서의 중소 병원의 보안의 해결방안은 무엇이 있을까? 그중 하나가 정보보안에 대한 투자 비용을 낮추는 방법이다. 앞서 소개한 보건복지부와 한국보건산업 진흥원이 발간한 [의료기관을 위한 정보보호 안내서]와 개인정보보호법 따라 병원 정보보안 및 개인정보보호에 대한 보안 정책 수립과 운영을 위해서는 다양한 시스템의 도입을 필요로 하며, 이중 정보 유출이 빈번하고 쉽게 일어나며, 보안이 가장 취약한 분야인 PC보안에 대해서는 다음과 같은 보안 대책을 제시하고 있다.
| 내용 | 관련솔루션 |
| 바이러스등의 탐지/치료 | 백신 |
| 최신 패치 적용 | 패치관리 |
| 파일유출 방지 | DLP |
| 파일 암호화를 통한 2차 피해 방지 | DRM |
| 개인정보 포함된 파일 관리를 통한 목적외 사용금지 | 개인정보검출솔루션 |
| 랜섬웨어 방지 | 안티랜섬웨어 |
보안대책을 마련하고 있는 대부분의 병의원에서는 PC에 대한 보안 대책으로 관련 솔루션을 도입하여 운영하고 있으며, 이외에도 다양한 PC보안 솔루션이 있지만 위 <표.1>은 최소한의 PC보호 대책을 나열한 것이며 컴플라이언스 이슈를 만족하기 위한 관련 솔루션을 표현하였다. <표.1>에서 보는 바와 같이 PC에 대한 보안을 위해서는 다수의 시스템이 도입되어야 하며 여러 개의 Agent가 PC에 설치되어야 한다. 이러한 많은 시스템 도입은 더욱이나 인력이 부족한 중소 병원에서 관리의 허점이 생기기 마련이며, 도입 비용 또한 증가하게 마련이다. 다수의 시스템 도입은 초기 비용 뿐만 아니라 유지보수 비용 또한 증가하게 되며 다수의 시스템을 관리 해야 할 적정한 인력이 요구되어져 비용 상승의 원인이 된다.
또한 각 시스템간 연계 작업의 필요성(예_암호화된 파일의 외부 유츨 승인의 경우 DRM과 DLP 양쪽 시스템에 대한 운용이 필요로함)이 발생하며, 이로 인한 작업량의 증가가 필수 적이다. 보안 정책의 경우 각 솔루션별/조직별 보안 정책을 수립하고 배포하여야 하며, 예외상황(외부 반출 승인 등)에 대한 즉각 적인 대응이 필요로 한다. 이러한 모든 것이 인력에 대한 리소스를 추가 해야 하는 경우가 발생하며, 이는 비용증가의 원인이 된다. 게다가 다수의 Agent가 PC에 설치되기 때문에 PC의 성능 저하를 유발하며, Agent간 충돌로 인한 예측 불가한 장애가 발생할 수도 있다.
최근 엔드포인트 보안 솔루션 시장은 보안 업체들 사이에 분산되어 있는 에이전트를 하나의 솔루션으로 통합하기 위해 노력하고 있는 추세이다. 이러한 통합보안 방식은 앞서 설명한 여러 문제점을 해결할 수 있는 방안 중 하나로 인식되고 있다.
Agent 통합을 통한 비용 문제 해결Agent의 통합은 각 보안 솔루션 기능에 대한 중복투자를 방지할 수 있다. 대부분의 PC보안 솔루션은 일정부분의 기능이 교집합 형태로 이루어져 있어 기능에 대한 중복 투자가 불가피하다. 한 PC 당 최대 7개 정도의 Agent가 설치되는 상황에서 각각을 도입하여 구축하는 방식으로는 도입 비용 및 유지관리 비용이 각각의 도입 시스템에 발생한다. 또한 시스템 운영시 보안 정책, 승인관리 등의 운영을 위해서는 최소 2-3명의 운영자가 필요하며 이에 대한 인력에 대한 비용도 추가로 발생한다. 운영중 장애 발생 시 여러 Agent로 인해 장애 원인을 찾기 어려워 신속한 문제 해결도 쉽지 않다. 통합Agent는 초기 도입 비용이 현저하게 절감(투입인력 비용, 기술지원비용 등) 된다. 통합Agent와 이를 연동하는 관리 센터인 통합 관리 포탈은 각 Agent간 연동을 통한 UI 및 공통 기능(인사DB 연동, 승인절차 등)을 통합 관리하고, 운영의 일원화 및 관리의 효율성이 확보되어 인력에 대한 비용 또한 절감 할 수 있다. 장애 발생시에도 일원화된 지원체계를 통해 업체 간 불협화음 없이 빠른 원인 파악과 패치가 가능하여 업무 연속성 보장을 확보 할 수 있다.
지속적인 보안관리와 이벤트 발생시 즉각적인 대응을 위한 가시성(EDR)
도입과 운영에 있어 걸림돌이었던 비용문제가 해결된다면, 다음은 관리부분이다. 중소병원에서 도입단계를 완료했다면 다음은 보안수준관리가 필수이다. 도입 초기에는 보안성이 이전보다 향상되겠지만 시간이 지남에 따라 보안 수준은 떨어지게 마련이다.
이러한 문제점을 해결하기 위해서는 꾸준한 보안 관리, 로그 확인, 이벤트 확인 등이 필요로 한다. 그러나 현실은 다수의 Agent에서 발생하는 로그를 분석하여 보안 관리 체계에 적용한다는 것은 현실적으로 난해한 일이다. 또한 PC에서 침해사고가 발생 했을 경우 각 Agent 및 시스템 로그, 침해사고 요인 분석을 통해 침해 규모 및 사고 내용을 파악하여 대응 방안을 마련해야 한다. 그러나 중소병원의 경우 평상시 보안을 유지 관리 목적으로 침해사고 발생 시 즉각적인 대응을 위한 인력이나 시스템은 대부분 갖춰져 있지 않다. PC에 많은 내부보안 에이전트 설치가 요구 되고 있으며, 이는 관련 시스템의 로그 복잡성 증가로 인한 결과를 가져와 침해사고 원인규명 시 IT가시성 저하의 결과를 가져오는 상황이다.
다음은 “가. 각각의 시스템 로그 분석” 할 때와 “나. 통합 상관 관계 분석”을 한경우의 로그 분석 결과의 예시이다.
‘가’의 경우 각각의 시스템의 로그를 분석해 정리하고 이를 다른 시스템에서 관계 있는 로그를 찾아 분석해야 함으로 시간과 전문성을 가진 인력이 필요한 상황이다. 이는 예산 및 인력이 부족한 중소 병원에서는 운영하기 힘든 방식이다.
‘나’의 경우는 관련 로그를 파일 유출이라는 카테고리로 묶어 각 대상별로 상관(연관)관계가 있는 로그를 묶어 정리해서 보여주고 있다. 운영자는 이 로그를 보고 침해 사고의 범위와 내용 그 원인 까지 한번에 파악할 수 있어 기존 분석 방법보다 시간 및 운영의 효율성이 상당히 높아진 것을 알 수 있다.
결론
본 글이 의료기관 정보보호 IT환경의 변화를 인식할 수 있는 기회가 되어, 통합 보안 Agent, 통합 관리 포탈 등을 통해 도입 단계에서 시스템 비용 및 인건비 등의 비용을 절감하고 운영단계에서는 보안 체계 운용의 효율성 및 가시성을 확보하여 침해사고 및 장애 발생시 즉각적인 대처가 가능하도록 관리의 편의성을 제공하고 유지보수 단계에서는 유지관리 비용을 낮춤으로써 투자의 모순에서 벗어남과 동시에 의료기관 정보보호 대응능력은 한층 강화되어 보다 신뢰 받는 병원으로 거듭나기를 희망한다.
지금의 시대적 환경에서 우리는 상대방의 생각을 알고 있다고 해서 그 상황을 극복할 수는 없다고 생각한다. 그 상대를 경쟁상대로 이길뿐이지 환경의 변화를 직시하지 못해, 전체(목표시스템)가 의미하는 중요목표는 간과하고 있을 수 있다. 의료분야에서도 4차산업혁명시대에 맞게 다양한 미래기술(인공지능, 사물인터넷, 빅데이터, 클라우드, 모바일)을 기반으로 하는 초연결과 초지능 시대를 준비하는 연구활동을 강화하여 사용자가 필요로 하는 목표시스템을 면밀히 분석하고 설계하여, 가장 안전하게 운용될 수 있도록 구축되어야 한다.
최상의 안전은 분산되어있는 보안요소들을 통합하여(통합운용), 서로 연계하고(통합관제), 안정적으로 연계된 모델을 확장하여(지능확산) 전방위적으로 전이시켜 지능적으로 방어할 수 있도록 구축되어야만 가장 안전한 사이버 공간이 되리라 사료됩니다.
