Home > 전체기사

미국 의료계, 보안성을 강화하려면 “점심을 사라?”

  |  입력 : 2014-08-28 11:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

보안의 측면에서는 아직 갈 길 먼 의료계를 위한 9개의 조언들


[보안뉴스 문가용] 지난 주 미국 의료계 역사상 최대 수준의 유출 사고가 터지고, 그에 따라 FBI까지 의료계의 고질적인 보안 취약성을 지적하면서 보안업계의 관심이 그리로 집중되고 있다. 무슨 일이 있었는지에 대한 보고서도 제법 나오고 있는 실태이며 그 영향력과 파급력에 대한 보고서도 속속 등장하고 있다. 자연히 앞으로 해야 할 일에 대한 의견들도 모아지고 있는 상태다.   

 

 ▲ 점심시간에 제일 잘 어울리는 기사

 

의료계에서 일어난 모든 유출사고 중 46%는 도난 및 분실로 인해 발생했고 내부 인원의 실수나 오용 등으로 인한 사고는 15%, POS를 통한 침입이 9%인 것으로 베리존(Verizon)은 발표했다. 다른 분야에 비해 도난 및 분실로 인한 유출사고가 제일 높았다. 이 부분이 제일 시급한 보완 분야라는 것이다.

 

또한 베리존의 조사에 의하면 의료계 종사자들은 사소한 실수들을 많이 저지르는 것으로 드러났다. 이에는 악성 이메일 및 팩스 열기, 소프트웨어 패치 하지 않기 등이 있다. 그러나 이는 병원에 근무하는 의사나 간호사 등만의 문제가 아니다. 병원과 손을 잡고 일하는 파트너, 의료기기 제작자, 약품 공급자 등들의 '사소한 실수'는 전체에서 68% 차지한 것으로 나타났기 때문이다.

 

이런 건 교육과 정기적인 점검 등으로 어느 정도 해결할 수가 있다. 또한 악성 코드 감지 프로그램이나 이메일과 팩스 모니터링 소프트웨어를 활용함으로써 자동화된 시스템을 갖추는 것도 가능하다. 또한 다른 분야의 여러 기업들처럼 병원 및 조직 내에도 보안 정책을 도입하고 보안 전문가를 영입하는 것도 필수가 되어가고 있다. 문제도 많고 사건도 많지만, 이런 저런 해결책이 아예 없는 것도 아니니 이제부터라도 손을 써도 늦지 않다. 다음은 의료계 보안성을 높이기 위한 방법 중 열 가지를 추린 것이다.

 

1. CSO를 고용하라

보안 담당자나 실무자, IT 전문가를 고용하라는 게 아니다. CSO다. 보안 총책임자, CEO와 거의 비슷한 급의 사람을 모시라는 소리다. 그래서 회사 여기저기를 자유롭게 들쑤시고 다닐 수 있어야 한다. 혹 CSO를 고용하는 게 현실적으로나 금전적으로 부족한 나라가 있을 수 있다. 이런 경우 젊고 값싼 보안 담당자를 고용할 게 아니라 차라리 외부 회사와 파트너십을 맺거나 아웃소싱을 한다. 혹은 계약직으로 단기 CSO를 고용하는 것도 괜찮은 방법이다. 이런 사람은 상황을 전체 시장 상황에 비춰 판단할 줄 알고, 그걸 바탕으로 가이드라인과 로드맵을 짜서 계약 기간까지 그걸 최대한 구현해낼 줄 알아야 한다.

 

2. CSO를 풀어주라

CSO에게 주어지는 책임은 굉장히 막중하다. 그런데 그와 걸맞은 권한까지 쥐고 있는 경우는 흔치 않다. 의료계에서 CISO로 오랜 기간 활동해온 만서 하십(Mansur Hasib) 역시 이에 동의한다.  또 CSO는 보통 CFO보다 아래 직급인 경우가 많은데 이는 결국 보안이 돈의 논리로 결정이 된다는 뜻이 된다. 이는 보안을 1순위로 생각하지 않는 이상 결국 보안의 소홀을 가져올 수밖에 없는 구조다. CSO의 상사는 CEO여야 한다.


3. 조직의 현 상황을 파악하라

뭐가 필요한지 파악하기 전에 먼저 뭘 가지고 있고 사용하고 있는지를 파악해야 한다. 데이터는 여러 기기를 타고 빠르게 퍼지고 있고, 그래서 활용은 쉬워졌지만 리스크도 커졌다. 게다가 더 많은 종류의 기기들이 등장하고 있다. 웨어러블, 사물인터넷, 로봇, 앱 등이 바로 그것이다. 직원들의 기기에는 개인 소유권이 걸려있고, 기업 입장에서 기기를 구매할 때도 보안에 대해 별다른 고민을 하지 않기 때문에(위에서 말한 대로 CTO가 구매에 대한 결정권을 가지고 있는 경우가 많다) 보안 전문가를 초빙해 현 상황에 대한 진단을 요청하는 것이 바람직하다.


4. 기본을 충실히 다지라

유출 사고를 들여다보면 어처구니없는 곳에서 뚫린 경우가 허다하다. 랩탑에 암호 설정을 하지 않았다거나, 패치를 하지 않았다거나, 암호를 아주 단순하게 만들었다거나 하는 게 바로 그런 어처구니없는 경우다. 이런 기본적인 사항을 자동으로 점검해주는 소프트웨어가 시중에 있으니 혼자 힘으로 잘 안 된다면 이런 툴들을 사용해보는 것도 현명한 일일 수 있다.


5. 점심을 사라

‘모든 것을 파악하라’라는 건 사실 말이 쉽지 실행하기가 여간 어려운 일이 아니다. 어쩌면 불가능의 영역에 있을 수도 있다. 사람 일이라는 게 꼭 공식적인 기록을 남기는 것만으로 이루어지지 않기 때문이다. 아무리 능력이 좋은 CSO라도 모든 부서에서 일어나는 사소한 일들까지 죄다 파악하기란 쉽지 않다. 아웃소싱 파트너라면 더욱 그렇다. 그럴 땐 점심값을 투자하는 게 큰 효과를 가져다 준다. 편안하게 배를 채우면서 공식적인 절차를 통해서는 듣기 힘들 수 있는 정보를 얻어낼 가능성이 있다. 원래 오프더레코드 정보 속에 가치있는 것들이 더 많이 숨어있다.


6. 문화를 형성하라

보안 교육을 시행한다고 해서 사람들이 곧바로 보안에 민감하게 바뀌지 않는다. 변화는 천천히 일어난다. 보안에 대한 인식이 직원들 한 사람 한 사람의 머리와 인식 속에 녹아들 때까지 꾸준히 보안에 대해 가르쳐야 한다. 그리고 새로운 사업을 계획할 때나 프로젝트를 맡을 때, 일부로 보안 이야기를 집요하게 꺼낸다. 하지만 그러면서도 CSO는 의료업계 종사자들에게 ‘환자’나 ‘치료’에서 벗어나는 이야깃거리는 시간낭비일 뿐이라는 마음가짐도 이해할 수 있어야 한다. 보안만 고집해서는 문화가 발생하지 않는다. 이미 형성되어 있는 문화 속에 보안 문화를 편입시켜야 한다.


7. 다른 업계를 참고하라

의료계는 디지털화에 빠르게 동참한 산업은 아니었다. 즉 디지털화를 훨씬 빠르게 진행한 다른 산업을 참고할 여지가 많다는 것이다. 디지털화와 보안에 앞서가는 분야라면 금융과 상업을 꼽을 수 있겠다. 그들은 정말 많은 시행착오를 겪어가며 지금에 이르렀고, 지금도 역시 각종 시행착오를 먼저 겪고 있다. 뼈아픈 수업료를 낸 타깃(Target)의 경우를 공부함으로써 내가 몸담고 있는 조직이 같은 일을 겪지 않도록 할 수 있다.


8. BYOD, 조심 또 조심

아무리 디지털화가 늦는 의료계라고 하지만 이미 업계의 81%가 BYOD를 도입했다. 너도나도 스마트폰을 사용하기 시작한 직원들 사이의 흐름을 막을 수 없었던 것. 그러나 디지털화가 늦은 만큼 보안이나 디지털 기기 사용에 대한 정책 수립에 늦을 수밖에 없는 것이 의료계 조직들 대부분의 사정이다. 지금에라도 기기 사용에 대한 규칙을 세워 직원들을 교육시켜야 한다. 개인의 기기에서 회사 정보를 분리시키거나 접근을 제한하는 소프트웨어도 다양하게 출시되어 있다. CSO는 정책을 수립하면서 동시에 이런 툴들도 검토해봐야 한다.


9. 무선을 보호하라

와이파이를 무료로 제공하는 건물들이 많아지고 있다. 환자들, 손님들은 병원에 들어오면 자연스레 와이파이를 연결해서 사용한다. 문제는 병원 직원들도 같은 와이파이를 사용할 경우다. 무심코 보낸 메시지에 중요한 정보가 담길 수 있고, 이 정보가 공공 와이파이를 타고 전달되었다면 중간에 얼마든지 가로채는 게 가능해진다. 다행히 이를 해결해줄 수 있는 툴도 시장에 나와 있다. 내부 직원만 사용할 수 있는 무선 망을 확립하고, 그 망에 접속할 수 있는 기기들을 일일이 등록하는 과정이 필요하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화