• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[CSO Interview]Beth Israel Deaconess Medical CenterAudit 2008.01.14

Audit Doctor - MARK OLSON

Beth Israel Deaconess Medical Center 정보시스템 보안 및 재난대책 관리자로서 보스턴에 거주하고 있다.

 


1만 1000명 이상의 직원들이 250개의 임상 실험 프로그램을 사용하는 Beth Israel Deaconess Medical Center의 수십만 명 환자들의 의료정보 기록에 접근한다는 것은 굉장히 위압적인 일이다. 그러나 IS 보안과 재해복구 담당자인 Mark Olson은 그 문제를 해결해냈다.


그와 그의 보안팀은 다른 IT 단체들과 Beth Israel Deaconess Medical Center의 운영진, 보스톤에 있는 하버드 의학대학의 부속 병원과 공동으로 개인정보 규정에 따라 업무상 필요하지 않은 환자의 정보를 확인하려는 직원을 즉시 찾을 수 있는 프로그램을 개발했다.


실질적으로 보스턴 레드삭스의 공식 지정병원인 Beth Israel Deaconess Medical Center은 레드삭스 선수들의 의료정보를 알고 싶어하는 이들로부터 많은 유혹들이 있었다.


그러나 혁신적인 프로그램의 개발로 임상 프로그램의 환자 자료 등에 대한 불법적인 접근을 재빨리 잡기 위해 IP 주소 등의 데이터를 분석해 체계적으로 정리했다. 이 프로그램은 어느 날 내과 의사가 이례적으로 많은 환자의 기록에 접근하는 것, 또는 일반적이지 않은 위치에서 임상자료를 검색하는 것과 같은 불규칙적인 패턴을 찾아내고 이를 경고한다.


Olson은 이 프로그램이 비정상적인 행동을 감지하기 위한 감시를 사용하는 패턴의 신용카드 산업 시스템을 모델로 한다고 말한다. 그는 국가적인 회의와 지역적인 회의에서 Beth Israel Deaconess Medical Center의 프로그램에 대한 프리젠테이션을 통해 IT 전문가들에게 기본적인 데이터를 분석하여 체계적으로 정리하는 것과 독창적으로 사용할 수 있는 효율적인 감사 프로그램을 만들 수 있다고 설명했다.


그는 “사람들은 해결해야 할 문제들을 너무 크게 생각하기 때문에 오히려 더 어려워진다”고 말한다. Beth Israel Deaconess Medical Center의 행정정보부 책임자인 John Powers는 Olson의 창의력과 완벽함은 매우 가치있다고 말한다.


“결론적으로 Mark의 컨셉을 이용한 보안대책의 결과로 우리 병원 환자 데이터베이스의 안전성이 다른 병원들과 비교해 눈에 띄게 향상되었다.” 이 프로그램은 개인정보 보호정책의 기준에 대한 불만을 털어놓던 일반적인 반응으로부터 병원이 미리 대책을 강구할 수 있도록 새롭게 변화했다고 Beth Israel Deaconess Medical Center의 법인 고문인 Tim Hogan은 말한다.


Olson과 그의 팀은 또한 병원 직원들이 자신이 담당하는 환자들의 자료를 다루기 위해 필요한 HIPAA를 웹을 통해서 환자들의 자료를 감사 시스템에 등록하는 프로그램을 개발하여 HIPAA를 확실히 인지해야 하는 문제를 해결했다. 그리고 지난 몇 년 동안, 그의 그룹은 여러 레벨의 보안을 통해 병원의 정보보안을 성공적으로 이뤄냈다.


또한 Power는 “그의 리더십을 통해 Olson은 병원의 전반적인 보안을 향상시킬 수 있었다”며 “그는 기술적인 보안의 변화뿐만 아니라 리더십을 통해 여러 기술업계 전반에 걸쳐 기술을 바꾸거나 기술을 소개할 때 보안을 고려할 수 있도록 하는 엄청난 일을 해냈다”고 말한다. “Mark가 우리 보안 시스템의 책임자가 되면서 우리의 보안환경은 강력해졌다.”


2003년 Beth Israel Deaconess Medical Center에서 일하기 전에 Olson은 9.11 테러 사건 이후 펜타곤과 뉴욕에서 상당한 양의 업무를 포함한 네트워크 운영자문 일을 했다. 또, 그는 NCR, Digital, EDS 등 다양한 IT 분야에서 20년간 일해 왔다.


오늘날, Olson은 감사를 통한 이익에 대해서 매우 강조한다.의료분야에서 고객의 기록들은 정보들의 비밀이 유지되며 지켜진다는 전제하에 종이문서에서 전자매체로 옮겨지고 있다. 이 시점에서 미리 보안대책을 강구하는 것이 필수적이고 감사분야에서 더 많은 관심을 가지는 것이 보안의 부작용을 줄이는데 도움이 될 것이라고 말한다. “보안은 감사업무라고 생각하지 않는다. 다만 향후에 발생할 수 있는 무언가에 대비하기 위해 더 많은 감사를 할 필요가 있다.”

 

<글: Marcia Savage>

 Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제87호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>