| 의료정보보호, 아직도 고민하십니까? | 2010.05.16 |
의료정보보호 가이드라인과 내부정보 유출방지를 위한 통합 PC보안 최근 발생한 대규모 개인정보 유출사건의 발생으로 개인정보보호가 최대 이슈가 되고 있다. 이에 그동안 환자 개인정보보호에 미흡했던 의료기관도 IT의 발달과 유비쿼터스 시대의 도래로 인해 환자의 의료정보보호는 이제 필수적인 요소가 되고 있다. 특히 의료정보 시스템은 환자의 의료정보를 수집하고 생성, 가공되어 필요에 따라 수정, 전송되고 있다. 하지만 악의적인 목적을 가진 제 3자에 의해 이러한 개인 의료정보가 유출되거나 의도하지 않은 행동에 의해 악용되는 것을 막을 수 있는 방안이 필요하다.
특히 지난 2009년 개인정보의 기술적겙桓??보호조치의 법령이 통과하여 개인정보에 대한 관리가 엄격해졌으며 최근에는 500병상 이상의 의료기관 대상의 개인정보보호 가이드라인이 발표되었다. 이와 같이 현재의 법과 동향은 개인정보에 대한 관리와 방안을 필요로 하고 있다. 본고에서는 의료기관의 PC보안 필요성, 의료 개인정보보호 가이드라인과 PC보안 등에 대해 알아보고 의료정보보호의 필요성에 대해 이야기 하고자 한다. 의료기관 PC보안은 필수 의료기관의 의료정보에 대한 보안 대상 중 일반적으로 여러 사람이 접근 가능하고 의료정보를 활용할 수 있는 단말기로 PC를 선택할 수 있다. PC는 의료정보 시스템의 클라이언트 프로그램을 설치하여 활용할 수 있으며 클라이언트 프로그램의 사용자들은 직급이 다양할 수 있다. 그러므로 의료정보의 접근에 대한 관리 대상에서 PC는 상당히 위험한 위치에 노출되어 있는 것을 알 수 있게 된다. 또한 PC의 특성에 따른 다양한 보안 기술이 필요하게 된다. 그림 1을 보면 PC에는 다양한 사용자들이 공동으로 사용하는 경우 식별제어의 접근제어 기술, 환자 기록 및 개인정보 유출방지 기술, PC의 다양한 매체제어 기술 그리고 PC 및 파일 사용의 로그 및 로깅을 남겨 감사를 제공할 수 있어야 한다. 이번 의료기관 대상의 개인정보보호 가이드라인도 PC와 관련된 보안 기술요구 사항을 언급하고 있다. 의료 개인정보보호 가이드라인과 PC 보안 의료 개인정보보호 가이드라인에서는 PC 보안 제품에 대한 직접적인 필요 항목은 존재하지 않지만 의료정보를 보호하기 위해 기본적으로 조치해야 하는 사항에 대하여 가이드라인을 제공하고 있다. 여기에서는 의료 개인정보보호 가이드라인 중 개인정보보호 및 보안에 관한 물리적, 기술적 지침에 대한 항목으로 PC 보안 기술과 연계하여 검토한다. 클리어스크린 컴퓨터 혹은 단말기는 로그오프로 두거나 화면 보호의 기능이 제공되어야 한다. 이를 통해 컴퓨터에 설치되어 있는 의료정보 시스템이나 데이터의 내용을 확인할 수 없어야 하며 화면 보호기를 제거하기 위해서는 사용자를 식별할 수 있어야 한다. 자리비움시의 정보시스템 보안 컴퓨터의 자리를 비우는 경우 화면 보호기 및 로그아웃을 제공할 수 있어야 한다. 이는 일정시간 PC 사용이나 접근이 없는 경우 타인의 접근에 대한 보안을 제공하기 위해서 로그아웃 및 세션 자동 아웃을 제공하여 PC의 접근제어를 제공한다. 응용 프로그램 사용시의 정보유출 방지 숨겨진 악성 코드로 인한 정보유출을 예방하기 위해 사용자의 PC가 외부 인터넷과 통신하는 것을 모니터링 할 수 있어야 한다. 이는 PC가 악성 코드에 감염되는 것을 막기 위한 백신 제품 및 PC 통합 보안을 이용하여 PC의 개인 방화벽이나 네트워크 패킷에 대한 모니터링을 제공해야 한다. 컴퓨터 보안 감사 로그 컴퓨터의 사용에 대한 로그를 제공하여 불법유출 문제나 의료정보 시스템에 접근한 기록 및 행위를 저장하여 제공하는 것으로 향후 사건이 발생하였을 때 사용자 및 증거 행위를 수집하기 위한 방안이다. 또한 별도로 공유 폴더의 접근 로깅을 제공하는 것이 필요하다. 네트워크 접근 통제 PC 사용자는 임의 네트워크를 사용할 수 있는 것이 아니라 허가 받은 서비스에 한해 네트워크 서비스를 이용할 수 있는 것을 언급한다. 이는 네트워크 보안 기술을 이용하여 외부의 접근이나 내부에서 외부로의 데이터 이동을 모니터링하고 차단할 수 있는 보안 기술을 언급한다. 저장매체의 관리 PC에 연결하여 사용하는 저장 매체에 대한 관리 방안이 수립되고 안전하게 매체를 사용할 수 있어야 한다. 이는 PC 사용자가 데이터를 이동형 저장 매체를 통해 유출하는 사고를 막고자 하는 것으로 이동형 저장 매체에 따른 절차 및 PC 통제 방안이 필요하다. 또한 이동형 저장 매체의 안전성을 확보하는 것은 이미 2007년 국정원의 보조 저장 매체에 대한 안전한 관리 지침을 발표한 내용이 있으며 보안 USB라는 이동형 저장 매체의 보안 제품군이 존재한다.
이상으로 의료기관 개인정보보호 가이드라인을 기반으로 PC 보안에 대해 알아봤다. 이 외에도 PC의 특성이나 의료 기관의 내부정보 유출을 막기 위한 별도의 보안 기술이 필요하다. 예를 들면 PC의 공유 폴더를 이용한 파일 접근 이력, 생성된 파일의 개인정보의 포함 여부를 확인할 수 있는 개인정보보호 기술이다. 이러한 개인정보보호 기술을 통해 문서의 개인정보를 검출하여 개인정보가 포함된 파일은 별도의 보안관리로 암호화, 삭제, 특정 폴더 강제 이동 그리고 모니터링 보안 기술이 제공돼야 한다. PC보안 및 네트워크 보안은 필수
예를 들어 백신을 이용한 바이러스나 웜 등의 악의적인 파일 검출 및 치료, 통합 PC 보안 프로그램을 이용한 PC의 매체 제어 및 개별 네트워크 보안, PC의 접근 제어 및 네트워크 공용 폴더 제어 등 PC의 감사 정보를 보안 관리자한테 제공해야 한다. 프라이버시 관련 보안 솔루션은 작성된 문서에서 개인 정보인 주민등록 번호나 아이디, 이메일 등의 개인정보를 검출하여 관리하는 솔루션의 도입이 필요하다. 또한 물리적인 네트워크를 보호하기 위해서는 NAC (Network Access Control)의 기술도 제공되어야 한다. 이와 같이 PC의 특성에 따른 다양한 보안 솔루션의 도입을 통해 민감한 개인정보의 관리 및 보호에 대하여 안전성을 높이며 사용자들의 보안 의식을 높여 PC 및 내부의 정보관리에 대하여 관심을 높여야 한다. <글 : 강서일 과장 닉스테크 기술연구소(sikang@nicstech.com)>
[월간 정보보호21c 통권 제117호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
최근 개인정보 유출사건으로 개인정보 관리에 대한 보안에 대한 관심이 높아지고 있다. 의료기관도 IT의 발달과 유비쿼터스 시대의 도래로 인해 의료정보 시스템은 환자의 의료정보를 수집하고 생성, 가공, 수정 및 전송의 역할을 수행하고 있다. 의료정보 시스템은 전문 의료기기부터 시작해 의료정보 시스템을 설치한 PC, 처방전을 제공하는 무인 단말기까지 다양한 기기를 통해서 서비스를 제공하고 있다. 이와 같이 편리성을 제공하는 의료정보 시스템이지만 악의적인 목적을 가진 제 3자에 의해서 의료정보의 데이터가 유출되거나 의도하지 않은 행동에 의한 악용되는 소지를 막을 수 있는 방안이 필요하다. 
사용자 식별 및 인증
패스워드 사용 및 관리
의료기관의 개인정보보호 가이드라인을 지키기 위해서는 PC의 보안 프로그램 및 네트워크 보안 장비의 도입이 필요하다. PC 보안의 경우 내부정보 유출을 막기 위해서는 여러 가지의 위협 사항을 고려해야 하며 악성 프로그램이나 제 3자의 악의적인 접근, 그리고 내부의 정보 통제 등의 다양한 위협 사항을 고려하여 보안 목적에 맞는 보안 프로그램을 도입해야 한다.