세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
복지부 신제수 정보화담당관 “10월 병원 공동보안관제센터 구축”
  |  입력 : 2018-07-24 10:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
의료 ISAC, 상시적 보안관제 통해 실시간 정보공유체계 구축
의료기관의 경우 낮은 보안의식, 자발적 투자 미흡, 보안대책 한계 등 문제
침해사고 발생시 전문대응 인력 및 교육훈련 지원과 서비스 확대


[보안뉴스 김경애 기자] 오는 10월 의료기관 공동보안관제센터(ISAC)가 구축될 예정이다. 의료 ISAC이 구축됨에 따라 의료기관의 상시적 보안관제와 함께 의료기관에 특화된 보안위협 탐지 및 공유 등 양질의 서비스가 제공될 것으로 보인다. 이에 본지는 보건복지부(이하 복지부) 신제수 정보화담당관과의 인터뷰를 통해 올해 상반기 의료 분야 보안 성과와 하반기 계획을 들어봤다.

▲보건복지부 신제수 정보화담당관[사진=보안뉴스]


Q. 복지부의 정보보안관련 정책에 대해 소개한다면
복지부에 소속된 산하 공공기관과 민간 분야로 나눠 정책을 수립·시행 중에 있다. 해킹사고 예방을 위해 2009년부터 사이버안전센터를 구축·운영하고 있으며, 재난재해 방지를 위해 2007년부터 보건복지부 공동재해복구센터도 운영 중이다.

민간 의료기관은 기본적으로 의료법 상의 전자의무기록과 개인정보보호법의 개인정보를 안전하게 보호해야 한다. 민간분야 정보보안 주무부처인 과기정통부와 한국인터넷진흥원은 ISMS 인증을 의무화하고, 주요정보통신기반시설을 지정하는 등 상급종합병원의 보안의무를 강화하고 있다.

그러나 대다수 의료기관은 보안 전문성 강화 및 최신 정보 획득에 어려움을 겪고 있다. 이에 보건복지부는 ‘의료기관을 위한 정보보호 안내서’를 배포하고, 사이버 위협 정보를 실시간 공유하는 등 기술적인 지원을 확대하고자 노력하고 있다.

또한, 정보통신기반보호법에 따라 상급종합병원 8개를 주요정보통신기반시설로 지정해 운영하고 있다. 지정된 시설은 법에 따라 매년 자체적으로 취약점 점검을 받아 주요정보통신기반시설 보호대책을 수립해야 한다. 여기에는 전년도 취약점 조치를 얼마나 이행했는지, 올해는 어떻게 취약점을 조치할 것인지에 대한 내용을 담고 있다. 최종적으로는 복지부 계획으로 취합돼 정보통신기반보호위원회에서 최종 확정한다.

Q. 올해 상반기 복지부의 정보보안 성과에 대해 설명한다면
복지부 소속기관과 공공기관을 대상으로 기술적·관리적 보안조치를 수행하고 있다. 사이버안전센터를 통해 24시간 보안관제를 실시하고, 지방의료원을 포함한 70개 기관에 대해서도 보안관제가 진행되고 있다. 현재까지 특별한 사이버보안 이슈가 발생하지 않은 점이 성과라고 할 수 있다.

관리적 측면에서는 매년 모든 소속 공공기관에 대한 보안점검을 시행하고 있다. 현장점검과 모의해킹을 실시해 취약점 점검 및 조치를 취하고 있다. 이와 함께 전 직원을 대상으로 정기적인 보안교육을 실시하고 있으며, 사이버침해 전문인력의 역량 강화를 위한 활동으로 상반기 중에 보건복지 해킹방어대회를 개최했다. 사이버안전센터 관제대상 70개 기관을 중심으로 소속·산하기관의 보안담당자들이 4~5명씩 팀을 이뤄 참가해 직접 해킹 공격과 방어 경험을 쌓았다.

Q. 정보보안 측면에서 의료기관의 고질적인 문제점 3가지를 짚어본다면
첫 번째로 의료기관의 낮은 보안의식이다. 2015년 환자 조사에 따르면 일일평균 외래 진료는 338만명, 입원 진료는 196만명이며, 이중 92.1%는 전자의무기록(EMR)을 사용 중이다. 그러나 전자의무기록의 정보보안을 책임지는 의료기관의 보안담당자와 예산 결정 및 실사용자라 할 수 있는 의료진과의 정보보안에 대한 인식의 차이가 크다.

두 번째는 보안 인프라 및 인력에 대한 자발적 투자가 미흡하다는 점이다. 상급종합병원 직원 2,479명 중 보안 전담인력은 1.03명 수준으로 인력이 매우 부족하다. 병원급 이상의 경우 66%가 보안예산을 편성 중이나, 2~5천만원으로 크게 부족한 규모다.

세 번째로 보안장비와 솔루션 위주 보안대책의 한계를 들 수 있다. 2017년 보건복지부 자체 설문조사에 따르면 상급종합병원의 정보보안 관련 애로사항 1위로 전문성 부족(35.5%)을 꼽았다. 고가의 보안장비를 지속적으로 도입하는 데는 한계가 있으며 자체 보안 시스템을 갖췄어도 전문인력 부족으로 접근로그 분석 등 사이버침해 대한 모니터링이 잘 이뤄지지 않고 있다. 뿐만 아니라 의료기관의 개별적인 보안관제 시스템 구축은 연간 약 2.3억원의 운영비 소요에 따른 비용 부담으로 거의 진행되지 못하고 있는 실정이다.

Q. 의료기관의 경우 보안기기, 의료진 등 보안이슈가 많은데, 복지부에서는 하반기 어떤 노력을 기울일 계획인가
하반기에 의료기관 공동보안관제센터(ISAC)를 구축·운영할 계획이다. 이에 대해서는 대한병원정보협회와 병원정보보안협의회 등 협의체 대표들과 정보를 공유하고 세부사항을 협의 중이다. 10월 개소 예정인 의료기관 공동보안관제센터에서 상시적 보안관제는 물론 의료기관에 특화된 보안위협 탐지·공유 등 양질의 서비스를 제공하는 한편, 의료기관과의 지속적인 논의를 통해 참여 문턱을 낮추고 의료기관 정보보안을 강화하는데 최대한 노력할 계획이다.

한편, 복지부는 전자의무기록(EMR) 시스템에 대한 인증제 도입을 추진 중이며, 하반기에 시범사업을 진행할 예정이다. 인증기준에는 보안성 기준이 포함되어 의료기관의 의료정보의 안전성 강화 및 정보보안 인식 개선에 기여할 것으로 기대한다. 인증된 시스템은 인증 유효기간 3년 동안 홈페이지에 공개된다.

Q. 의료 ISAC의 기대효과는
의료 ISAC은 동종 또는 유사 업무 분야별로 해킹 등 사이버위협에 효과적으로 대응하기 위한 공동 대응체계다. 최신 해킹정보, 위협정보의 신속한 회원기관 간 공유를 통해 사이버침해사고를 사전에 예방하고, 침해발생 시 즉각적인 사고전파 및 조기 대응으로 동일 유형의 피해 확산을 방지할 수 있다.

현재 의료 ISAC은 10월중으로 구축·운영할 계획이다. 참여 의료기관에 대한 24시간 상시 보안관제를 통해 사이버위협정보를 수집·분석함으로써 의료기관에 특화된 보안위협에 대한 실시간 정보공유 체계를 구축할 예정이다. 침해사고 발생 시 전문 대응인력을 지원하고, 직원 및 보안담당자 대상으로 보안 교육과 훈련 등도 지원할 방침이다. 향후에는 의료기관 수요에 따라 보안 컨설팅 등 서비스를 확대해 나갈 계획이다.

Q. 보건복지 분야의 정보보호 투자와 예산이 턱없이 부족한 것으로 알고 있다. 복지부에서 정보보안을 위해 책정한 예산은 어느 정도인가
복지부 정보화담당관실에 2017년 84억, 2018년 67억의 보안예산이 책정됐다. 이외에 각 소속 국립병원, 지방의료원 등 보안예산은 각 기관에 편성돼 있다. 2017년에는 24억원 예산을 투자해 8개 국립병원의 망분리를 수행했으며, 2018년에는 의료기관 공동보안관제센터 구축 예산으로 27억원이 확보됐다.

Q. 정보보안과 관련해 민간 의료기관과의 협력계획은
의료 ISAC의 세부사항 논의를 위해 공공기관, 의료기관, 자문위원으로 구성된 실무협의체를 구성·운영할 예정이다. 또한, 대한병원정보협회 등 관련 협의체와의 긴밀한 교류를 바탕으로 의료현장의 목소리를 경청해 필요한 협력이나 지원에도 최선을 다할 계획이다.

Q. 보건복지 분야 정보보안 강화를 위한 향후 계획은
최신 IoT, 클라우드, 빅데이터, AI, 모바일 등 정보통신기술의 환경 변화에 따른 정보유출 및 해킹 등의 보안위협이 더욱 커질 것으로 예상돼 정보보안 강화가 더욱 필요한 시점이다. 이에 보건복지 분야에도 정보보안 기반 확충과 관련 시설의 정보보안 강화가 요구됨에 따라 이를 추진할 사이버보안 관제인력 등 정보보안 전문인력을 확충해 나갈 방침이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)