• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

일산병원, 개인정보보호 솔루션 도입...컴플라이언스 준수 2013.05.16


개인정보 접속기록 상시 모니터링...개인정보보호 강화


사전 보안 위한 능동적인 형태의 개인정보보호 환경 구축





[보안뉴스 김태형] 국민건강보험공단에서 운영하는 국내 유일의 보험자 직영 운영 병원인 국민건강보험 일산병원(이하 일산병원)은 745병상 규모의 최첨단 의료장비를 갖춘 병원으로 지난 2000년 개원했다.


        



하루에도 3천여명 이상의 환자들을 진료하는 일산병원은 지난 2011년 9월 30일 본격 시행된 개인정보보호법과 당시 행정안전부와 보건복지부에서 내놓은 의료기관 개인정보보호 가이드라인을 통해 개인정보보호법 준수를 위해 많은 노력을 해왔다.




정성직 일산병원 경영정보팀장은 “개인정보보호법 이전에는 병원 전산시스템의 보안을 위해서 방화벽, 웹방화벽, IPS 등을 도입해 주로 외부 보안을 위주의 보안관리를 하는 수준이었다”면서 “그러나 지난 2011년 개인정보보호법 시행 이후 EMR시스템을 도입하고 업무 시스템을 전산화하면서 DRM, PC보안, 매체제어, 화면캡처 방지 등의 내부 보안 시스템을 구축하고 기술적인 보안 부분에 많은 노력을 했다”고 설명했다.




그리고 지난해 말, 일산병원은 개인정보보호법을 준수하고 원내 개인정보를 보다 안전하게 관리하고 보호하기 위해 개인정보보호를 위한 솔루션의 필요성을 느끼고 관련 솔루션 도입을 검토한 결과, 위즈디엔에스코리아의 개인정보보호솔루션 ‘Weeds Blackbox Suite(이하 WBS)’를 도입했다.




이와 관련, 정성직 팀장은 “이번에 도입한 개인정보보호 솔루션은 개인정보보호법을 준수하고 원내에서 관리되고 있는 환자들의 개인정보에 대해서 신뢰할 수 있는 개인정보 접속기록을 관리한다. 이 기록을 이용해서 감사기능까지 수행할 수 있는 시스템이다”라고 밝혔다.




또한 그는 “상급기관인 건강보험공단의 개인정보보호 강화 및 전용 솔루션 도입의 권유도 이었고 무엇보다 웹 환경에 적절한 개인정보보호 솔루션 도입을 검토한 결과 WBS가 서버 단의 애플리케이션을 동작할 수 있도록 지원하는 WAS 단에서 전송되는 사용자에 대한 행위 패턴을 기록으로 남기는 부분과 이를 활용한 보안 관리 기능을 제공하는 부분에서 좋은 평가를 얻었다”라고 설명했다.




그리고 그는 “특히 개인정보와 관련된 내용들을 정책으로 세워서 이를 기록하고 이를 통해 내부 사용자의 위반 행위와 행위자가 누구인지 추적, 개인정보의 접속 기록 및 모니터링 기능을 제공하기 때문에 WBS를 도입하기로 결정하고 시스템 구축을 시작했다”고 덧붙였다.




WBS는 위즈디엔에스코리아의 자체 기술을 이용해 개인정보 접속기록을 생성하고 수집해 개인정보 취급자의 모든 개인정보 취급 이력을 상시적으로 모니터링 한다. 특히 기존 응용프로그램의 수정 없이 모든 개인정보 접속기록을 수집할 수 있으며 개인정보 유출 등, 부정사용에 대한 감시 및 적발을 위한 다양한 도구와 기능을 제공하는 것이 가장 큰 특징.




일산병원의 소프트웨어 기반의 어플라인스 장비가 포함된 WBS 구축 기간은 1개월 정도 소요됐다. 구축 시 일산병원측이 가장 고려한 부분은 업무자들에게 얼마나 많은 부하를 주는지, 서버에도 얼마의 부하가 걸리는지, 또 전체적인 프로세스가 한눈에 보이는지 등에 중점을 두었다. 아울러 보안정책을 위해서 전체 로그를 남기고 이 로그를 분석해서 어떤 정책을 어떻게 세워서 추진하는가에 대해 많은 고민을 통해 가장 효율적인 운영방안을 검토해 적용했다.


    


     ▲ 위즈디엔에스코리아 개인정보보호 솔루션 Weeds Blackbox Suite의 관제 화면.




정 팀장은 “현재 약 5개월 정도 개인정보보호 솔루션을 운영한 결과, 사전 보안을 위한 능동적인 형태의 개인정보보호 환경이 구축됐다”면서 “가장 만족스런 부분은 보안 담당자가 보안을 해야 하는 대상을 설정하고 대상자에 대한 로그기록, 강제보호 권한, 경고 기능 등을 제공하는 것”이라고 설명했다.




또한 “사후 내부 감사를 위한 로그 기록과 리포트를 제공하는 부분에서 여러 가지 편리한 기능을 제공한다. 의료정보도 보안이 필요한 중요한 정보이기 때문에 병원의 전체적인 개인정보에 대한 보안관제 솔루션으로서 매우 효과적이다”라고 평가했다. 




일산병원측은 아직은 개인정보에 대한 모니터링 수준으로 WBS를 활용하고 있지만 추후 조금 더 강력한 보안 정책을 세워 운영할 계획이다. 특히 보안 사고가 발생한다고 해도 사후에 누가, 언제, 어떤 정보를 봤는지 추적해 제시할 수 있고 기술적인 측면에서도 각 프로그램별로 로그를 기록하면 성능이 떨어질 수 있지만 성능저하가 전혀 없는 점에서 만족하고 있다.




향후 일산병원은 개인정보보호법의 준수뿐만 아니라 보안 강화를 위해서 올 하반기 출력물 보안을 도입·운영할 예정이며 이 외에도 P2P차단 시스템, 내부 DNS 전용 서버 도입, DB암호화, PC개인정보 검출 등의 솔루션을 추가로 도입해 내부 보안 강화를 위해 많은 노력을 기울여 나갈 계획이다.


[김태형 기자(boan@boannews.com)]




<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>