연세대학교의료원(이하 연세의료원)은 의료진과 일반 업무직 담당자가 약 8,000여명에 달하고 총 병상 수는 3,137병상으로 연간 진료환자는 외래 290만명, 입원 100만명에 달하는 대형 종합 의료원이다. 이에 산하 모든 기관들을 유기적으로 연결하는 통합화된 유비쿼터스 정보시스템을 구축해 운영하고 있고 보안도 중요한 만큼 최근 발표된 ‘의료기관 개인정보보호 가이드라인’을 준수하기 위해 노력하고 있다.

연세의료원은 현재 의료정보실 정보통신팀에서 네트워크 관리자가 보안업무도 함께 하고 있다. 또한 최근 발표된 ‘의료기관 개인정보보호 가이드라인’을 준수하기 위해 전문 보안 담당자를 충원할 계획이다. 정보통신팀 총 인원은 17명이며 정보통신팀내 네트워크 관리 파트 7명이 보안업무를 함께 책임지고 있다. 연세의료원의 보안을 책임지고 있는 이형기 의료정보실 정보통신팀 팀장은 “그동안 연세의료원의 보안 위협은 주로 PC 보안과 내부정보유출 이었다”며 “실제로 내부에 의한 정보유출로 보이는 사례가 있었고 몇 년 전에는 인증서가 해킹되는 사건도 발생해 외부의 위협보다는 내부적인 보안 이슈가 상존해 있었기 때문에 내부의 보안에 초점을 두고 강화했다”고 말했다.

외부보다 내부 보안에 초점

이형기 팀장은 “연세의료원은 외부에서 들어오는 위협에 대해서는 철저하게 보안 체계가 구축되어 있었지만 내부의 보안 위협은 약간 미흡한 부분이 있었기 때문에 행정직원의 통합PC보안과 더불어 엑스큐어넷의 이메일 추적 시스템과 웹 사이트의 게시물 추적 등 인터넷과 웹 부분의 보안을 강화했다”고 설명했다.

연세의료원은 닉스테크의 통합PC보안 솔루션 구축하면서 기존 사용하던 엑스큐어넷의 안티 바이러스 솔루션에 이메일 추적과 웹사이트 게시물 추적 기능을 업그레이드하는 개념으로 내부정보 보안을 강화한 것이다. 특히 이메일 추적 및 웹사이트 게시물 추적 솔루션의 구축은 지난해 11월부터 2월말까지 약 3개월 동안 작업이 진행됐고 1차적으로 행정용 PC에만 적용했다.

이 팀장은 “앞으로 전 직원의 PC를 대상으로 보안 강화를 확대해 나갈 예정”이라고 덧붙였다. 연세의료원은 기본적인 보안은 잘 구축되어 있었다. 예를 들면 DB보안, 웹서버보안, IPS, 웹방화벽, 안티바이러스 등이 그것이다. 그리고 이번에 내부의 보안을 강화하기 위해 PC보안과 정보유출 방지 솔루션을 함께 구축한 것. 그러나 DB암호화와 DDoS 공격에 대한 대비는 아직 미흡하다. 이 팀장은 “DDoS 공격 방어 장비는 올해 안에 구축할 계획이고 DB암호화는 성능 이슈 등 여러 가지 문제점이 있어 고려중이지만 웹 서버의 암호화는 추진할 계획”이라고 밝혔다.

또한 그는 “올해 발표된 의료기관 개인정보보호 가이드라인에 대해서는 일단 긍정적으로 생각하고 있다”며 “보건복지부에서 의료기관의 특성을 잘 고려해서 만든 것이지만 이 가운데 개인정보에 관해 환자들의 동의부분은 절차 등이 복잡해 어려움이 예상된다”고 말했다. 특히 병력 등의 기록은 병원에 남아 있어야 하는데 정부에서는 일정기간 이상 개인정보를 보관하고 나면 이를 폐기해야 한다는 규정이 있어 적절한 조율이 필요하다고 본다고 덧붙였다.

최근 연세의료원은 정부기관의 실태조사에서도 지적사항이 많지 않았던 만큼 보안체계와 관리는 잘 되어 있다고 할 수 있다. 또한 보안 투자도 타 병원에 비해 높고 주요 임원들도 보안에 대해 많은 관심을 갖고 지원하고 있다는 것만 봐도 연세의료원의 보안에 대한 생각을 알 수 있다.

내부 보안 통제의 필요성

연세의료원은 일상 업무가 네트워크를 통해 이뤄지고 있다. 최초 병원 내원부터 퇴원까지의 모든 업무가 망에 연결된 시스템을 이용하는 프로세스로 진행된다. 이러한 이유 때문에 개별 기간계 업무시스템들은 인증과 권한부여가 잘 되어 있다. 하지만 전체 네트워크 중 인터넷으로 부터의 보안 위협이 불분명하게 통제되고 있기 때문에 인터넷 구간 통제에서 외부적인 위협에 대해서는 IPS, 방화벽에서 통제되었지만 일상적으로 사용하는 메일과 게시판을 이용한 민감한 내부정보의 유출에 대한 통제의 필요성을 인식했다.

이 팀장은 “내부정보 보안 강화를 위해 관련 솔루션들의 성능은 검토했고 그중에서 패킷을 검색하는 기능면에서 엑스큐어넷의 솔루션이 우수했다”며 “엑스큐어넷의 바이러스 월을 사용하고 있었기 때문에 업그레이드 개념의 내부정보 유출방지 솔루션 구축은 그리 어려운 일이 아니었다”고 설명했다.

엑스큐어넷의 내부정보 유출방지시스템은 네트워크 기반의 DLP로 내부사용자들의 인터넷 정보검색과 정보공유는 보장하고 실수나 고의로 유출될 수 있는 내용을 선별적으로 통제할 수 있는 기준을 정한 것이다.

연세의료원 입장에서는 통제 요건에 대한 기능의 만족도뿐만이 아니라 다양한 기업과 공공기관에서 납품했던 사례를 통한 통제정책에 대한 방법론과 기술지원 인력의 높은 수준이 만족할만한 분이다. 또한 의료기관 개인정보보호 가이드라인에 대한 명확한 해석과 그에 따른 적용방안을 제시한 것도 연세의료원에 적합한 솔루션이라고 판단한 것.

이메일추적 시스템은 연세의료원 전체 직원의 이메일을 추적하는 것은 아니다. 내부에서 내부로 오고 가는 이메일은 제외하고 내부에서 외부로 나가는 메일만 추적하는 시스템이다. 특히 감시기능이 있어 로그 기록이 남기 때문에 추적이 가능한 것이지만 평상시 모든 이메일을 모니터링하는 것이 아니라 사고 발생시 필요에 의해서 최고 경영자의 허가가 있을 때만 추적해서 문제를 해결할 수 있도록 한다.

이로써 연세의료원은 다양한 정보유출 창구 중 인터넷 구간에 대한 신뢰성을 확보했다. 즉 개인정보와 같은 민감한 정보가 어느 정도 유통되고 있는지 정량화되지 않았으나 이제는 통제 시스템을 통해서 본문이나 첨부문서까지도 샘플링이 가능하며 이에 대한 통계가 가능하여 통제 효과를 검증하고 이를 통해서 위험을 정량적으로 관리할 수 있게 됐다는 것이다. 

보안에 대한 인식과 업무프로세스의 변화

이에 이형기 팀장은 내부 통제와 인터넷 구간의 신뢰성 확보 측면에서는 큰 효과를 기대할 수 있고 앞으로도 관리나 운영상에 있어서 크게 어려운 점은 없을 것으로 판단하고 있다.  특히 연세의료원에 도입 된 Venus/EMASS는 다양한 프로토콜 해석(TCP, UDP/Session/SMTP, HTTP, HTTPS, FTP)과정을 통해 의미 있는 데이터로 만들어지며 정규화 및 추출의 과정을 거쳐 정제화가 되어 모니터링 툴인 EMASS를 통해 이 데이터를 조회할 수 있다.

또한 이 데이터들은 EMSSS TNG에서 내부 보안과 법규 준수 차원에서 분석하여 감사자료 및 징후탐지를 위한 데이터로 제공하게 된다. 이 데이터 중에 인가된 사용자에 의한 정상적인 데이터의 전송은 허용되어 EMASS에 로깅되며 ContentFilter에서는 제목,  본문, 첨부문서 내의 키워드 기반의 차단 통제와 비업무 통신(P2P, Web Hard, 메신저, 원격접속)을 차단하게 된다.

연세의료원이 이러한 시스템을 도입하고 운영하면서 크게 달라진 점은 이에 대한 홍보와 교육을 통해 사용자들의 업무 프로세스에서 보안에 대한 인식이 바뀌고 정보유출의 방지와 보호를 위해 스스로 인식하고 있다는 점은 아주 좋은 효과라고 할 수 있다. 이 팀장은 “무엇보다 중요한 것은 의료정보를 취급하는 사람들의 생각이 바뀌어야 한다”며 “향후 연세의료원은 의료정보 보안에 더 많은 관심을 갖고 노력할 것”이라고 강조했다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>