• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의료분야 보안위협 위험수위...ISAC 추진 탄력 받나? 2015.08.25

미래부 최병택 과장 “보건의료 분야 정보보호 수준 제고 필요” 지적_
다양한 제도 및 인프라 지원...의료분야 ISAC 단계별 확대 추진

 

[보안뉴스 김경애] 의료분야에 대한 사이버보안 위협이 갈수록 고조되고 있다. 생체정보와 같은 민감한 정보를 다루고 있고, 벌써 상반기에만 개인정보 유출사고 소식이 연이어 들려오고 있기 때문. 게다가 네트워크 구간에서 암호화 통신을 할 수 있는 프로그램인 Open SSL(Open Secure Socket Layer)를 노리는 고위험 보안취약점 등을 악용한 지능적인 악성코드도 증가하고 있다.


의료분야 보안위협 증가

이와 함께 스마트 홈·의료 등 IoT 서비스와 ICT 물리 시스템이 융·복합되는 사이버물리시스템(CPS: Cyber-Physical Systems)에 대한 보안위협도 고조되고 있다. 사이버물리시스템은 임베디드 센서와 소프트웨어를 포함한 전산 프로세스와 물리적 구성요소가 통합되고 상호 작용하는 스마트 시스템을 말한다.


특히, IoT와 CPS 확산으로 사이버세계 위협이 현실세계로 빠르게 전이·확대되고 있다. 혈압이나 당뇨 등 개인건강 체크 솔루션, U-헬스, 생체신호 모니터링, 노약자 및 장애인 지원, 원격의료 등 의료기기와 원격진료에 대한 보안위협은 빠르게 확산되고 있는 반면, 이에 대한 대응체계는 부족한 게 현실이다.


이에 대해 미래부 최병택 과장은 “환자 진료정보 등 민감한 개인정보를 다루는 의료분야는 침해사고 발생 시 대규모 피해 발생이 우려되므로, 보건의료 분야 전반의 정보보호 수준을 제고할 필요성이 있다”고 지적했다.


특히, 중소규모 병의원과 약국 등의 보안 강화는 시급한 상황이다. 상반기 행자부에서 진행한 병원(30인 병실 기준)의 개인정보보호 실태점검 결과, 병의원에서 가장 많이 발견되는 문제점은 다름 아닌 암호화 위반이며, 비밀번호를 1자리나 2자리로 하는 등 취약한 비밀번호 설정도 지적사항으로 드러난 바 있다.


의료분야, 관련 부처 규제 강화

이에 정부도 서둘러 정보보호관련 규제를 추진하는 등 사이버보안 강화에 나서고 있다. 미래부의 경우 인증 취득 확대를 지원한다는 방침이다. 이와 관련 최병택 과장은 “보건의료분야 전반의 보안수준 제고를 위해서는 8만여 개에 이르는 중소 병의원 및 약국의 보안 강화가 필수적인데, 이를 위해 ISMS 인증 도입과 정보보호준비도 평가, 지역정보보호지원센터 활용 등 다양한 제도 및 인프라 지원을 추진할 계획”이라고 말했다.


행자부 역시 의료기관의 잇따른 개인정보 유출사건으로 인해 규제 강화에 나서고 있다. 개인정보보호법 위반에 대한 경각심 고취와 유사사례 발생을 막기 위해 위반업체의 실명을 공개하는 행정처분 결과 공표제도를 적극 활용하고 있다.


이와 관련 지난 18일 미래의료재단은 홈페이지 회원 가입 시 ‘동의 거부권 및 불이익 사항’ 고지 누락 등 개인정보보호법 위반사항 4건이 적발돼 과태료 부과와 함께 실명이 공개된 바 있다.


따라서 앞으로 ‘1회 과태료 부과 총액이 1000만원 이상’ 요건에 해당되는 곳은 행정처분 사실이 공표된다. 이어 행자부는 하반기에도 위반업체 최소 5개를 추가로 공표할 예정이다.


2017년까지 의료분야 ISAC 단계별 추진

하지만 이러한 규제 강화만으로 사이버보안 수준을 끌어올리기엔 넘어야할 산도 적지 않다. 현재 의료분야는 상급종합병원(43개) 중 일부인 7개 병원 7개 시설이 정보통신기반시설로 지정되어 보호·관리되고 있으나, ISAC은 설립되지 않은 실정이다. 게다가 ISAC(정보공유분석센터: Information Sharing & Analysis Center) 설치를 위해서는 부처 간의 협의는 물론 예산과 인력 확보, 그리고 의료기관의 적극적인 협조 등이 선행되어야 한다.


이와 관련 보건복지부 홍영숙 정보화담당관은 “한국인터넷진흥원을 통해 ISAC을 구축하면 좋을 것 같다는 의견을 들었다. 이러한 의견에 대해 공감하지만 쉽지않다. ISAC을 구축하려면 우선 인력·조직과 예산확보가 중요하기 때문에 추후 시간을 두고 장기적인 측면에서 검토해야 할 사안”이라고 말했다.


이에 미래부는 보건의료분야에 ISAC을 포함할 계획이다. 현재 통신, 금융, 증권, 지자체 4개 분야만 있는 ISAC을 오는 2017년까지 에너지, 의료, 교육 분야로 확대 구축한다는 방침이다. 특히, 1000개 병상 이상 10여개소 또는 상급종합병원 40여개소 등의 대형병원을 기준으로 정보통신기반시설 지정을 단계적으로 확대할 계획이다.


이와 관련 최병택 과장은 “정보통신기반시설 지정 및 ISAC 설치는 관계중앙행정기관인 보건복지부의 전향적인 정책의지가 가장 중요하기 때문에 하반기부터 관련 사항에 대해 중점적으로 협의할 계획”이라고 밝혔다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>