데일리시큐는 5월 21일, 전국 국공립 의료기관 및 대학·민간 병원 개인정보보호 및 정보보안 책임자, 실무자 300여 명이 참석한 가운데 ‘2024 의료기관 정보보안 컨퍼런스’(MPIS 2024)를 더케이호텔서울 2층 가야금홀에서 성황리에 개최했다.

◆클라우드 전환의 필요성과 어려움

이 자리에서 안랩 김경민 수석은 서두에 디지털 전환이 곧 클라우드 전환으로 이어지는 현상을 설명했다. 그는 "비용 절감, 유연성, 확장성, 보안 강화를 주요 동기로 많은 기관과 조직이 온프레미스에서 클라우드로의 이전을 고민하고 있다"고 말했다. 그러나 클라우드 전환 과정에서 다양한 전환 이슈가 발생하며, 이를 해결하기 위해 많은 기관이 하이브리드 및 멀티 클라우드 전략을 고려하고 있다고 언급했다.

특히, 클라우드 전환의 주요 어려움으로 복잡성과 다양성을 지적했다. "클라우드 서비스 및 환경을 통합하고 관리하는 것은 기존의 온프레미스 시스템보다 훨씬 복잡한 작업이며, 운영 효율을 높이는 것 또한 어려운 작업"이라고 강조했다. 또한 클라우드 보안 측면에서도 CSP가 허용한 범위 내에서만 볼 수 있고, 보안팀과 이용자의 개입이 제한되는 문제를 설명하며, 클라우드 제공업체들이 보안 서비스를 강화하고 있지만, 아키텍처의 복잡도에 따라 보안 서비스가 복잡하게 엮이고 그에 따른 비용 증가가 발생할 수 있다고 덧붙였다.

◆클라우드 보안과 규정 준수

김 수석은 클라우드 보안의 중요한 측면으로 데이터 이동과 저장, 접근 통제 등을 꼽았다. "클라우드로의 이전은 데이터의 외부 이동을 증가시키며, 이로 인한 보안 위험 요소의 증가가 필연적"이라고 경고했다. 부적절한 구성이나 약점이 있는 서비스, 신뢰할 수 없는 사용자 등에 의해 데이터 유출 위험이 높아질 수 있으며, 이를 위한 효과적인 전략 수립이 쉽지 않다고 설명했다.

보안 규정 준수 또한 클라우드 운영에서 중요한 쟁점 중 하나다. 김 수석은 "다양한 규제와 법적 요구사항을 충족시키는 것은 복잡한 과제로, 이를 위한 체계적인 관리 및 감시 시스템뿐만 아니라 전문적인 조력자의 도움이 요구된다"고 밝혔다.

그는 서비스 공급자와 고객 간의 책임 공유 모델에 대해서도 언급했다. 클라우드 서비스에서는 서비스 제공자와 이용자 간의 책임이 공유되며, 이로 인해 책임이 명확하게 분리되지 않거나 간섭되는 경우가 발생할 수 있다고 지적했다. 따라서 계획한 보안 정책의 효과적인 이행이 어려울 수 있으며, 이는 곧 사용자의 책임 문제로 나타나고 서비스 운영 피해에 따른 손해 또한 이용자가 대부분 감수해야 한다고 말했다.

한편 김경민 수석은 클라우드 인프라의 온프레미스 복귀를 고려하는 경우가 늘고 있다고 설명했다. 초기에는 작은 도입비용으로 전환할 수 있었지만, 정확히 관리되지 않으면 클라우드 비용이 기존 온프레미스 인프라의 비용을 상회할 수 있다는 점을 강조했다. 그는 "특정한 비즈니스 애플리케이션이나 워크로드가 클라우드에서 관리하기에는 복잡하거나, 이전 시스템과 통합하기 어려운 경우 해당 애플리케이션을 온프레미스로 유지하거나 복원할 수도 있다"고 말했다.

특히 인공지능 같은 성능 집약적인 워크로드를 가진 일부 기관이나 기업의 경우, 데이터의 실시간 처리가 중요하거나 대용량의 데이터를 운반해야 하는 경우 클라우드에서 발생할 수 있는 네트워크 지연과 비용 등을 고민해야 한다고 덧붙였다. 보안 및 규정 준수 요구사항 역시 클라우드 송환을 고려하게 만드는 주요 요인 중 하나다. 그는 "특정 산업이나 일부 기업들은 중요한 비즈니스 데이터를 외부 클라우드 공급자에 의존하지 않고 자체적으로 관리하고 싶어할 수 있다"고 설명했다.

◆클라우드 보안 주요 요소

김 수석은 클라우드 보안의 주요 요소로 액세스 관리, 네트워크 제어, 경계 네트워크 제어, VM 관리 등을 꼽았다. 그는 "이 부분들은 중요한 고려사항이지만 이미 적절한 대응이 이루어지고 있는 영역"이라고 평가했다. 마지막으로 남은 중요한 요소는 데이터 보호다. 기존 보안 영역들과 다르게 고객이 직접 솔루션을 선별하거나 MSP를 통한 2차 계약을 통해 접근해야 한다고 설명했다.

클라우드의 데이터 보호를 위해 관련 서비스는 개인정보 보호법의 요구사항을 수용할 수 있어야 한다고 강조했다. 서비스 상의 데이터를 암호화하고 개인정보를 보호하며, 완전히 분리된 테넌트 관리를 통해 데이터 레지던시를 충족하는 솔루션을 찾아내야 한다고 말했다.

◆데이터 보안을 위한 필요 요소

김경민 수석은 데이터 보안을 위해 필요한 요소로 개인정보 접속기록 관리, 개인정보 탐지 및 노출 차단, 비식별화 등을 제시했다. 그는 개인정보 보호법 제24조와 제29조, 제34조의2를 근거로 데이터 암호화의 중요성을 강조했다. "암호화는 권한이 없는 사용자가 데이터를 읽는 것을 원천적으로 차단하여 데이터가 유출되더라도 개인정보 및 민감정보를 이용할 수 없도록 보호한다"고 말했다. 또한, 개인정보 접속기록 관리의 필요성을 강조하며, "불법적인 정보 접근을 방지하고 합법적인 경우에도 그 접근에 대한 기록을 보존하여 개인정보의 무단 사용을 예방한다"고 설명했다.

공공망 내의 개인정보 탐지와 노출 차단의 필요성도 강조했다. 그는 "대민 서비스를 운영해야 한다면 개인정보 노출은 단순하지만 심각한 보안 문제로 다가올 수 있다"고 말했다. 따라서 개인정보 탐지와 노출 차단을 위해 기존 자료와 앞으로의 자료에 대한 대책을 나누어 설립하고, 주기적으로 공공망에 노출된 데이터를 확인해야 한다고 덧붙였다.

◆대규모 언어 모델(LLM) 보안 아키텍처

김 수석은 최근 대규모 언어 모델(LLM)을 필두로 한 AI 환경의 보안 이슈도 다루었다. 그는 "클라우드 전환을 고려한 지 얼마되지 않은 시점에 LLM을 포함한 AI 환경이 데이터 보안의 한 축으로 자리 잡아가고 있다"고 말했다. AI 모델의 구축, 사용자 보안, 인프라 보안 등 다양한 측면에서 보안 방안을 제시하며, AI 환경에서의 보안 취약점을 예방하기 위한 구체적인 방법들을 소개했다.

김경민 수석의 강연은 클라우드 서비스 수준별 개인정보보호 적용 방안을 체계적으로 제시하며, 클라우드 전환의 필요성과 어려움, 클라우드 보안의 중요성, 데이터 보호를 위한 실질적인 방법들을 강조했다.

그는 강연을 마무리하며 "클라우드 전환은 비용 절감, 유연성, 확장성, 보안 강화를 위한 필수적인 과정이며, 이를 성공적으로 이루기 위해서는 체계적인 관리와 전문적인 조력자의 도움이 필요하다"고 강조했다. 또한 "클라우드 전환의 모든 과정에서 데이터 보호와 개인정보보호를 최우선으로 고려해야 한다"며, 클라우드 전환에 대한 심도 있는 분석과 전략적 접근의 중요성을 다시 한번 강조했다.

보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

이번 MPIS 2024는 보건복지부, 대한병원정보보안협회 등의 후원으로 개최됐다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★