“공공기관이 일반 기업보다 보안 수준 높다”

건강보험심사평가원은 우리 국민들이 의료기관에서 진료를 받았을 때 청구된 진료비에 대한 심사와 진료가 적정하게 이루어졌는지에 대한 평가를 하는 기관이다. 즉 병·의원·약국 등에서 환자를 진료하고 그 진료비를 건강보험법에서 인정하는 기준에 맞게 올바르게 청구하였는지를 확인하는 것이 주 업무다. 이와 같이 국민의 요양급여비용의 심사와 평가를 주 업무로 하고 있는 심사평가원은 이에 따르는 진료내역·의료비 등의 중요 개인정보를 한 달 평균 천만건 정도 처리하고 있어 어느 기관보다 개인정보의 중요성을 인식하고 이를 안전하게 관리하고 보호하기 위해 보안강화에 노력하고 있다.

현재 건강보험심사평가원은 개인정보 유출로 인한 소송제기 등 사회적 파장이 커짐에 따라 요양급여비용 심사와 평가를 위해 보유하고 있는 개인정보, 즉 국민의 진료내역 진료비 등의 정보를 적법하고 안전하게 관리하여 국민의 신뢰를 얻는 것이 최대 보안 이슈로 꼽고 있다.

이에 대해 심사평가원의 보안을 책임지고 있는 양재현 건강보험심사평가원 총무관실 보안담당 차장은 “현재 1,800여 명의 직원이 근무하고 있는 심사평가원은 매달 천만건 정도의 국민들의 의료 정보를 처리하고 있다”며 “이러한 개인정보는 6개월 동안의 정보만 저장하고 있지만 내부적인 정보 유출을 방지하기 위해서 로그관리, 개인정보보호 상시 모니터링 등을 통해 보안을 강화하고 있다”고 설명했다.

심사평가원은 개인정보보호에 대한 사회적 관심이 증대됨에 따라 지난 해 9월에 전담인력 4명으로 개인정보보호팀을 신설하여 개인정보보호에 대한 정책과 관리체계를 수립하고 임직원에 대한 개인정보보호의 중요성을 제고시키는 보안교육 및 개인정보의 오남용 예방을 위해 점검 등을 실시하고 있다. 

효과적 사전 대응 시스템 구축

심사평가원은 최근 온라인 기업과 금융기관을 비롯해 공공기관 등의 정보유출 보안 사고와 관련, 개인정보보호와 사내 보안 강화를 위해 많은 변화가 있었다. 그 중 하나가 ‘개인정보보호 상시모니터링 시스템 구축’이다.

양재현 차장은 “이는 개인정보유출 및 오·남용 예방을 위해 보건복지가족부와 연계하여 ‘개인정보보호 상시모니터링 시스템’올해 도입하고 구축하고 있다”고 설명했다.

이 외에 앞서 말한 것과 같이 전문 인력구성을 통한 개인정보호팀을 신설했고 또 정기적으로 외부 전문가를 초빙하여 개인정보보호의 필요성에 대한 인식강화 교육과 사내 보안전문가 육성을 위해 예산지원 등, 사내 전반적인 보안교육을 강화함으로써 임직원들의 개인정보보호에 대한 인식을 크게 향상시켰다.

특히 심사평가원은 중요 정보자산인 개인정보를 안전하게 보호하기 위해 문서보안시스템(DRM), DB 접근통제시스템 등의 내부정보유출을 막기 위한 보안시스템을 적극 도입해 운영하고 있다. 아울러 올해 정보화사업시 DB 암호화시스템, 자산 반·출입 통제시스템, 소스코드 취약점 점검시스템 등을 도입하여 보안수준을 한층 더 업그레이드할 예정이다.

또한 개인정보 유출 등 보안사고 예방을 위해 상용 메일 및 메신저와 P2P 등 파일공유 프로그램의 실행차단 및 자체 보안관리실태 점검을 강화하는 등의 정보자산 유출을 사전에 예방하고 있다.

심사평가원의 심사 시스템은 단독시스템이기 때문에 외부에서는 접근이 되지 않는다. 때문에 외부의 보안 위협 보다는 내부의 정보유출이나 오·남용이 가장 큰 보안 위협이다. 이에 따라 심사평가원은 이러한 보안 위협에 대한 차별된 대책을 마련하고 있다. 양 차장은 “심사평가원은 내부의 정보유출뿐만 아니라 여러 가지 외부의 보안 위협에 대비해 보건복지가족부와 연계하여 앞서 언급한 ‘개인정보 상시 모니터링시스템’을 구축하고 있다”며 “또 해킹 및 DDoS공격을 대비해 방화벽, 웹방화벽, 침입탐지시스템, 침입방지시스템, 보안USB 관리시스템, 화면캡쳐방지시스템 등의 개인정보보호 처리시스템을 구축·운영하고 있다”고 강조했다.

또한 그는 개인정보영향평가와 개발시 소스코드 분석을 통한 취약점을 분석과 주기적인 시스템 취약점 점검을 통해 개인정보의 과다수집 방지 및 침해사고에 사전에 효과적으로 대응할 수 있는 시스템을 구축하고 운영하고 있다는 것이 타 기관과의 차별점이라고 덧 붙였다.

이 외에 심사평가원은 웹방화벽, 침입방지시스템, DB접근통제 및 모니터링시스템, 화면캡쳐방지시스템 등을 통해 개인정보유출을 방지하기 위한 시스템을 복합적으로 갖추고 있다.

아울러 심사평가원은 국민의 진료내역이라는 방대한 자료 때문에 DB보안은 갖추었지만 DB암호화는 여러 가지 이유로 구축하지 못했지만 올해부터는 업무 시스템 및 자료분석 시스템(DW)의 개선으로 DB암호화를 점차적으로 추진할 예정이어서 DB보안을 더 강화해 나간다는 계획이다.

개인정보호영향평가 시스템 구축

심사평가원의 올해 최대 보안 이슈는 앞에서도 여러 번 언급됐지만 ‘개인정보보호’이다. 그 중에서도 가장 큰 이슈는 개인정보보호법의 개정으로 인해 개인정보보호에 대한 범위가 기존 업무시스템에 있는 정보뿐만 아니라 각종 문서까지 확대되기 때문에 이를 대비하는 것이 가장 큰 고민이다. 양 차장은 이에 대해 “심사평가원은 개정되는 개인정보보호법을 대비해 공공기관 최초로 개인정보호영향평가시스템을 구축 예정”이라며 “최근 보안사고의 70% 이상을 차지하고 있는 내부자에 의한 정보유출을 방지하기 위해서 전 임직원들을 대상으로 개인정보보호와 정보보안에 관한 교육을 지속적으로 실시하고 있다”고 말했다.

이어서 국내 보안 환경의 문제점에 대해 양 차장은 “어떤 이슈가 생기면 기관 및 기업에서 서둘러 보안시스템을 구축하지만, 제대로 운영하고 있지 않다는 부분이 문제점이라고 생각한다”며 “새로운 시스템을 신속히 구축하는 것은 좋은 현상이지만 증가하는 보안시스템의 운영과 이에 따르는 유지보수에 대해서는 적은 예산과 인력을 배치함으로써 보안위협에 노출되는 현상이 발생한다는 점”을 들며 공공기관도 이와 같은 문제가 아직 남아 있다고 지적했다.

그는 또 “오래전부터 기업이나 공공기관에서 정보보안에 대한 교육과 홍보를 통해 보안에 대한 인식은 많이 향상되었지만 개인정보보호에 대한 인식은 아직 미흡하다고 생각한다. 따라서 이렇게 미흡한 점은 앞으로 우리가 좀 더 보완해야 할 부분”이라고 덧붙였다. 

그리고 정보보안 및 개인정보보호 강화를 위해 여러 가지 보안정책이 수립되고 반영되고 있는 상황에서 보안측면만 너무 강조하다 보니 업무의 효율성이 많이 떨어지는 경우가 다수 발생하고 있어 어떤 보안 관련 정책이나 제도를 수립하기 전에 현업의 의견도 반영되어 보안과 업무의 효율성이 상존할 수 있도록 고려해야 하는 것도 중요하다고 강조했다. 또한 개인정보보호의 중요성과 보안강화의 필요성에 대해 임직원의 공감대를 형성하는 정책이나 제도를 확대·수립하는 것도 좋은 방법이라고 덧붙였다. 아울러 양 차장은 “대부분 공공기관이 일반 기업에 비해 보안수준이 떨어지거나 보안의식이 낮다고 생각하고 있는데 이는 오해다”며 “공공기관이기 때문에 일반기업 보안수준보다 한 층 더 높게 강화해 유지하고 있으므로 이에 대한 막연한 불안감은 이번 기회를 통해 떨쳐버렸으면 한다”고 밝혔다.

한편 심평원은 향후 주요 정부기관에서 추진하고 있는 망 분리 사업을 적용해 정보보안을 강화할 예정이다. 이에 앞서 올해에는 망 분리에 따른 영향분석을 실시할 예정이며 분석결과에 따라 망 분리 사업을 추진해 내부 중요 자산의 외부 유출을 원천적으로 차단할 계획이이서 앞으로도 정보보호 우수기관이라는 명맥을 이어나갈 것이다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>