한국사회보장정보원 의료정보보호센터, ‘의료기관 정보보호 역량 교육 및 간담회’ 개최
보건복지부, 협회, 전국 병원 보안담당자 등 40여명 참석...노하우 공유와 소통 강화

[보안뉴스 김영명 기자] 보건복지부 산하 한국사회보장정보원 소속 의료정보보호센터(HISC, Healthcare Information Security Center)가 29일 서울 충무로 스테이락 호텔에서 ‘의료분야 정보보호 강화를 위한 의료기관 정보보호 역량 교육 및 간담회’를 개최했다.


의료정보보호센터 이성훈 센터장은 개회사를 통해 “오늘 이 자리는 의료정보보호센터에서 의료기관 정보보안 실무 담당자의 의견을 듣기 위해 마련한 자리”라며, “이 자리에는 의료기관 정보보안 담당자들은 물론 보건복지부, 관련 협회에서도 참석했기 때문에 여러분들의 고충에 대한 다양한 의견 개진을 부탁드린다”고 말했다.

이날 행사는 한국사회보장정보원 의료정보보호센터 김완중 책임과 김태균 책임, 그리고 개인정보보호센터 강동호 선임의 역량교육이 차례로 진행됐다.


먼저, 의료정보보호센터 김완중 책임이 ‘침해사고 사례분석을 통한 의료기관 정보보안 강화 방안’을 주제로 발표했다. 최근 의료기관 사이버 침해사고를 보면, 국내는 S대병원 83만명 개인정보 유출, 서울 강남 성형외과 진료실 IP카메라 영상 유출로 연예인 등 30여명 피해, 상급종합병원 41곳 로그인 정보의 다크웹 유통 등이었다. 해외에서는 랜섬웨어 감염 복구 문제로 결국 문 닫은 120년된 미국 병원, 환자 정보 노리는 랜섬웨어 공격 등이 있었다.

김완중 책임은 “국내 사이버보안 침해사고 신고는 2021년 대비 2022년에는 1.6배가 늘었고, 국내 의료기관 침해사고 신고는 2021년 대비 2022년에는 약 1.1배가 늘었다”며, “전체 침해사고의 39%는 의원급에서 발생했으며, 랜섬웨어 감염 비율은 83%였다”고 말했다.

지난해 의료기관 침해사고 취약점 현황은 내부 의료정보시스템의 외부와의 통신 문제가 주요 사고 원인으로 파악됐다. 또한, 불필요한 서비스의 사용, 원격 유지보수 수행과정에서의 문제, 취약한 포트(RDP, SMB, DB) 외부 개방, 취약한 비밀번호 사용, 공유기 보안설정 미흡 등이 피해 대상 시스템에서 발견됐으며, 기본적인 보안설정 미흡으로 추가 피해가 발생하고 있다고 설명했다.

사이버 침해사고의 주요 발생 원인은 방화벽·공유기 설정 미흡, 취약한 서비스 활성화, 서비스 종료된 OS 사용, 의료정보시스템 백업 체계 미흡 및 부재, 소프트웨어 기본 계정 사용 및 취약한 패스워드 사용 등을 주 원인으로 꼽았다. 또한, VPN 취약점을 이용한 침해사고 사례, 글로브임포스터(GlobeImposter) 랜섬웨어의 공격 행위와 절차도 상세히 설명했다.

김완중 책임은 “의료기관 정보보안 강화 방안으로는 보안정책 관리, 접근제어 설정, 보안 패치, 백신 설치, 원격제어 제한, 데이터 보호, 계정 및 로그 관리 등이 있다”고 말했다. 이어 “오픈포트는 내외부 자체 점검으로 보안을 강화해야 한다”며 “웹보안 방안으로 취약점 점검, 웹에디터 업데이트 및 샘플 파일 제거, 주기적 웹 로그 모니터링이 필요하다”고 당부했다.


이어 의료정보보호센터 김태균 책임은 ‘선제적 사이버 침해 대응을 위한 보안설계 가이드’에 대해 발표했다. 의료기관 네트워크 설계 미흡에 따른 보안사고로는 데이터 유출, 서비스 중단, 랜섬웨어 공격, 데이터 위·변조 등이 있다. 데이터 유출은 취약한 네트워크로 공격자가 시스템에 접근하고 민감한 데이터를 유출하는 방식으로 이루어진다. 서비스 중단은 디도스 공격과 같이 네트워크를 목표로 공격하면 대상기관의 네트워크가 마비돼 서비스 중단과 장애를 일으킨다. 데이터 위·변조의 경우 의사와 간호사들이 위조된 데이터에 의존하게 되면 환자의 안전에도 영향을 미칠 수 있다.

김태균 책임은 “의료기관 네트워크 보안 강화 방안은 네트워크 장비의 이중화, 네트워크 패킷의 페이로드 값 분석장비 운영, 웹·WAS·DB 영역별 분리, DMZ 영역과 내부 서버팜 영역 분리, 웹 방화벽으로 DMZ 영역 내 웹 서버 보호, 악성메일 탐지차단 장비 운영, 내부 서버팜의 주요 (의료)정보 시스템 구축과 불필요한 외부 통신 차단 등이 있다”고 강조했다.

의료기관 네트워크 보안 구성은 기존 구성에서 의료정보시스템을 분리한다면 접근통제 강화 효과를 낼 수 있으며, 영역별 방화벽을 구성해 접근이 불필요한 사용자를 차단함으로써 서버 측면 이동과 악성코드 확산을 방지할 수 있다. 또한, 내부 서버팜의 직접적인 외부 통신을 지양하려면 웹·WAS, DB를 영역별로 분리 운영해 직접적인 외부 통신을 차단해야 한다는 게 김 책임의 설명이다.

의료기관 보안관제 수행 방식으로는 네트워크 상에 존재하는 네트워크 기반 보안장비의 보안로그를 관제센터에서 수집·분석해 관제 대상기관에 정보를 제공해야 하며, 이와 함께 보안장비 로그 분석, 네트워크 위협 분석, 웹 안전도 검사, 웹쉘 탐지, 웹 악성코드 모니터링 등이 요구된다.

김태균 책임은 마지막으로 논리적 망분리를 설명했다. 그는 “논리적 망분리 방식은 PC의 성능에 의존적”이라며 “PC에 악성코드가 동작하면, 가상 OS 영역까지 침해할 수 있고, 논리적 망분리 자체 취약점으로 가상에서 로컬 영역으로 이동이 가능하다”고 말했다.


마지막으로 한국사회보장정보원 개인정보보호센터 강동호 선임이 ‘개인정보 사고 예방을 위한 의료기관 인식 제고’를 주제로 발표했다. 강 선임은 의료기관은 환자의 건강상태, 신체적 특징, 병력 등 민감정보, 주민등록번호 등의 고유식별정보, 신용카드 및 통장계좌번호, 근로정보, 개인영상정보 등 다양한 개인정보를 처리한다고 말했다.

강 선임은 “개인정보 보호법은 일반법이기 때문에 다른 법률의 특별한 규정을 제외하고는 개인정보 보호법을 따라야 하지만, 의료법에 따른 진료기록부, 조산기록부, 간호기록부, 수술기록부, 처방전 등을 위한 개인정보 수집·열람·제공은 약사법 규정이 우선 적용된다”며 “의료법에 규정돼 있지 않은 사항은 개인정보 보호법에 따라야 하고, 영상정보처리기기 설치·운영 제한, 유출통지제, 집단분쟁조정제 등은 의료법 적용 대상자에게 모두 적용된다”고 강조했다.

2020년 설문조사에 따르면 우리 국민의 54.7%는 개인정보 유출에 대해 불안감을 느끼고 있다고 응답했다. 개인정보 유출사건의 대표 사례는 2019년 ‘n번방 사건’, 2020년 2월 1365포털의 자원봉사자 명단 무단 유출 사건, 2021년 12월 ‘송파 살인사건’, 올해 1월의 자금 입금 뒤 ‘묻지마’ 계좌정지, 보이스피싱 피해자 보호 제도를 악용한 신종사기 수법 등이 있다.

강동호 선임은 “이번 개인정보 보호법 개정으로 도입된 ‘개인정보 전송요구권(이동권)’은 금융·공공 등 일부 분야에서 개인정보 전송요구권(이동권) 근거를 마련함으로써 마이데이터 사업 추진방식을 개선하고자 한 것”이라며, “전송의무 대상자 기준은 매출액, 개인정보의 규모, 개인정보 처리능력, 산업별 특성 등을 고려하는 것이 필요하다”고 말했다.

또한, 이동형 영상정보처리기기 운영기준과 관련해서는 공개된 장소 등에서 업무 목적으로는 개인 영상정보를 촬영하는 행위를 원칙적으로 제한하지만, 정보주체 촬영사실을 알고도 거부 의사를 밝히지 않으면 예외적으로 허용한다고 소개했다. 마지막으로 개인정보 유출 대응조치와 관련해 사고인지 및 긴급조치부터 단계별 조치방안에 대해 세부적으로 설명했다. 주제발표를 마친 이후에는 질의응답이 이어졌다.

Q. 기관이 해킹을 당해 개인정보가 유출되면 기관도 피해자인데, 가해자로 몰리는 듯한 분위기가 이어지는데.
한국사회보장정보원 김정수 본부장 : 초기에 개인정보 보호법이 강화된 이유는 ‘n번방 사건’ 때문입니다. 개인정보를 잘 지키는 기관에 포상은 없고, 개인정보를 유출한 기관에 제재만 가했기 때문입니다. 개인정보를 지키기 위해서는 개인정보 보호법도 준수해야 하고, 기술도 갖춰나가면서 나름 최선을 다하고 있는데 이에 따른 보상은 미흡한 게 현실입니다. 그러나 개인정보 유출은 민간·공공을 막론한 범정부적인 이슈이며, ‘개인정보 보호’는 정부기관에서도 큰 관심을 두고 있어 포상과 관련해서도 점차 개선될 것으로 봅니다.

Q. 수술실 CCTV 법제화와 관련해 요즘 CCTV를 IP 카메라로 설치하는게 주된 흐름인데, IP 카메라가 설치된 네트워크를 폐쇄된 네트워크로 구성하면 CCTV와 동일하게 적용되는 건지.
한국사회보장정보원 김태균 책임 : 수술실 CCTV를 IP 카메라로 구성하게 되면 네트워크로 연결될 수 있기 때문에 NAC(Network Access Control) 등 추가적인 정보보안 솔루션들이 필요합니다. 하지만, 병원내 폐쇄망 환경으로 구축하려면 동축케이블을 통해 CCTV 시스템을 구축하면 됩니다.

Q. 최근 챗GPT가 이슈인데, 병원에 챗GPT 등을 적용하려면 어떻게 적용할 수 있는지. 보안이슈와 관련해서 가이드라인을 배포할 계획은 없는지.
이성훈 의료정보보호센터장 : 현재 의료기관에 챗GPT를 적용하는 것과 관련해서는 클라우드운영본부에서 활발하게 준비하고 있습니다. 조만간 준비가 되면 말씀드리겠습니다.


한국사회보장정보원 김정수 클라우드운영본부장은 간담회를 마무리하면서 “병원 정보보안 담당자들이 노고를 잘 알고 있다”며, “저희 연구원에서 보건복지부 등 정부부처 및 기관과 꾸준히 소통하면서 의료기관의 정보보안 강화를 위해 더욱 열심히 뛰겠다”고 말했다.


한편, 이날 행사에는 보건복지부, 한국사회보장정보원 관계자들을 비롯해 서울아산병원, 서울대병원, 고려대병원, 건국대병원, 대한한의사협회, 한국건강관리협회 등 40여명의 병원 정보보안 실무자 및 협회 관계자가 참석했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>