• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의료업계가 표적이 되는 이유 : 클라우드의 오용 2015.06.30

규정이 빡빡한 의료업계, 클라우드 사용은 헐렁헐렁

클라우드의 무분별한 사용은 수상함과 부주의함 구분 어렵게 해


[보안뉴스 문가용] 의료산업 종사자들은 데이터의 저장과 협업을 위해 주로 클라우드를 사용하는데, 이중 문제가 될 만한 안 좋은 습관들이 조사되었다. 스카이하이 네트웍스(Skyhigh Networks)가 이번에 1백 6십만 명의 의료산업 종사자들을 대상으로 조사한 바, 의료산업의 조직 및 기업체들은 직원들의 클라우드 사용 자체를 인지하지 못하는 경우가 많은 것으로 드러났다.

 


의료업계는 생명과 연결되어 있는 일을 하기 때문에 규정이 빡빡한 것으로 유명하다. 또한 종사자들 역시 이를 별 거부감 없이 받아들이고 있다. 하지만 클라우드를 사용하는 것 만큼은 일반 기업들의 그것과 크게 다르지 않다는 게 스카이하이 네트웍스의 조사 결과다.


“의료업계 자체의 엄중함과 근엄한 분위기가 클라우드 및 정보의 사용에조차 영향을 줄 것이라고들 많이 생각하고 있습니다만, 전혀 그렇지 않습니다.” 스카이하이 네트웍스의 CEO인 라지브 굽타(Rajiv Gupta)의 설명이다. “환자의 민감한 의료정보 및 기록들을 협업과 공유의 목적으로 무분별하게 클라우드 내에 업로드하고 다운로드하는 걸 수없이 목격했습니다. 게다가 회사나 조직은 직원들의 이런 업무 방식을 전혀 인지하지 못하고 있었어요. 어느 정도냐 하면, 한 의료업계 회사가 한 달 동안 클라우드로 전송하는 데이터양은 위키피디아 전체의 데이터베이스보다 큽니다. 이게 믿어지시나요?” 그밖에 민감한 의료정보가 위험에 처해지는 이유들은 다음 네 가지로 꼽혔다.


1. 은둔의 IT : 위에 설명한 것과 같은 ‘활발한’ 클라우드 사용은 보통 IT 부서가 인지하지 못하는 곳에서 발생한다. 한 의료업계 조직에서 활용되고 있는 클라우드 서비스의 종류만 평균 920가지였고, IT 부서가 파악하고 있는 건 기껏해야 60개였다. “현실과 인식의 차이가 이토록 거대한 건 제가 알기로 의료업계가 최고입니다.”


2. 특화되지 않은 클라우드의 사용 : 위에서 말한 920개의 클라우드 서비스 대부분이 대중화된 평범한 클라우드였다. 병원이나 기타 의료업계 조직에서 사용할만한 특화된 서비스가 아니었던 것이다. 이는 즉 의료업계가 마땅히 가져가야 할 수준의 보안조치가 전혀 이뤄지지 않고 있다는 걸 뜻한다. 또한 개인이 사용하는 클라우드 서비스의 종류는 평균 26가지인 것으로 나타났다.


희망적인 건 그나마 7%는 기업 전용의 서비스를 사용하고 있었고, 15%는 다중 인증을 사용하고 있었으며, 9.4%는 데이터를 암호화하는 방식의 클라우드 서비스를 사용하고 있었다.


3. 데이터 분량의 방대함 : 이번에 스카이하이가 조사한 조직들이 클라우드에 업로드한 데이터의 양은 기업 당 한달 평균 6.8 테라바이트였다. 민감한 데이터만 말이다. 게다가 IT 부서나 보안부서는 이 사실을 전혀 알지 못했다. 이런 데이터가 현재 해커들에게 얼마나 사랑받고 있는지를 생각해본다면 이는 대단히 위험한 행동이 아닐 수가 없다. 현재 의료정보는 일반 개인정보보다 20배의 가격으로 거래되고 있다.


더 중요한 건 클라우드 서비스에 따라 이용약관에 “서비스 제공업체도 데이터의 소유권을 갖는다”고 명시되어 있다는 것이다. 하지만 이용약관을 다 읽어보는 사용자는 아무도 없다. 해커까지 갈 것도 없이 ‘합법적으로’ 데이터를 클라우드 서비스 제공업체에게 넘겨버린 것이나 다름없는 행위다. 또한 클라우드 서비스 업체들 중 많은 곳에서 표적형 광고, 스마트 광고를 위해 사용자를 트래킹하는데, 이 역시 클라우드 안에 있는 데이터를 들춰봤다는 소리가 된다.


4. 위험한 행동도 숨길 수 있어 : 클라우드 서비스를 이처럼 다방면에서 대용량으로 사용하고 있다는 건 악의를 가진 내부인원이 자신의 ‘나쁜 행동’을 얼마든지 숨길 수 있다는 뜻도 된다. 부주의해서 허가도 되지 않은 클라우드에 민감한 데이터를 올렸는지, 나쁜 의도로 올렸는지 구분할 방법이 없기 때문이다. 이번 조사에서 내부인원 감시시스템을 갖춘 조직이 79%나 되었다는 건 놀라운 일이었지만, 그 중 실제 범인을 미리 잡아낸 건 33% 뿐이라는 게 이를 증명한다.


클라우드를 사용하는 일반 직원들의 부주의한 행동과 악의적인 행동은 사실 종이 한 장 차이라는 게 굽타의 설명이다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>