데일리시큐는 5월 21일, 전국 국공립 의료기관 및 대학·민간 병원의 개인정보보호 및 정보보안 책임자, 실무자 300여 명이 참석한 가운데 국내 최대 ‘2024 의료기관 정보보안 컨퍼런스’(MPIS 2024)를 더케이호텔서울 2층 가야금홀에서 성황리에 개최했다.
이번 컨퍼런스에서 대한병원정보보안협회 황연수 학술분과장은 '2024년 의료환경에서의 정보보안 키워드 TOP 10'을 주제로 강연을 진행했다. 황 과장은 이번 강연을 통해 최신 정보보안 트렌드를 심도 있게 분석하며, 의료 환경에서 주목해야 할 정보보안 이슈들을 제시했다.
◆2024년 의료 환경에서의 정보보안 키워드 TOP 10
1. 생성형 AI 보안
황과장은 생성형 AI 기술의 발전이 다양한 분야에서 혁신을 가져왔지만, 동시에 보안 위협을 증대시킬 가능성이 있다고 설명했다. 대표적으로 챗지피티(ChatGPT)와 같은 생성형 AI 기술은 악성코드 제작이나 음성 위·변조 등 사이버 공격에 악용될 수 있으며, 잘못된 정보 제공, AI 모델 악용, 데이터 유출 등 다양한 문제를 초래할 수 있다. 이에 따라 기업의 기밀정보나 개인정보 등 민감한 정보의 입력을 금지하고, 생성물에 대한 검증 및 생성형 AI를 악용한 사이버 범죄에 적극 대응할 필요성이 있다고 강조했다.
2. CPO 지정 의무화
2024년 3월 15일부터 상급종합병원에 CPO(Chief Privacy Officer, 개인정보보호책임자) 지정이 의무화된다. 황과장은 의료기관이 보유한 민감한 개인정보 및 의료정보의 중요성을 강조하며, CPO 지정이 전문성과 독립성을 갖춘 개인정보 보호를 강화할 수 있는 중요한 계기가 될 것이라고 말했다. 개인정보보호위원회는 이를 위해 상급종합병원 CPO 지정을 위한 가이드라인을 마련해 의료기관에 배포할 예정이다.
3. 개인정보보호법 위반 과징금 제도 변경
작년 9월 15일 개인정보보호법이 전면 개정되면서, 위반 시 과징금 제도가 변경되었다. 과징금 상한액을 위반행위와 관련된 전체 매출액 기준으로 최대 3%로 산정하도록 변경되어, 의료기관들은 이에 대한 대비책 마련이 시급하다. 그는 개인정보보호 배상책임보험 가입 및 과징금 부과 시 이의 신청 등 적극적인 대응을 통해 금액을 경감하는 것이 중요하다고 언급했다.
4. 의료기관 ISMS-P 인증
의료기관에서의 ISMS-P 인증(정보보호 및 개인정보보호 관리체계 인증)이 본격화될 전망이다. 국립암센터는 주요 빅데이터 운영시스템에 대해 ISMS-P 인증을 획득했고, 분당서울대학교병원은 국내 최초로 EMR을 포함한 병원정보시스템 전체에 대해 ISMS-P 인증 심사를 받았다. 황 학술분과장은 올해 의료기관의 ISMS-P 인증 획득이 본격화될 것이라고 전망했다.
5. 의료분야 공급망 공격
공급망 공격은 소프트웨어 제작 과정에서 악성코드를 주입해 전체 공급망에 영향을 미치는 방식으로, 최근 의료정보시스템의 취약점을 이용한 공격 사례가 증가하고 있다. 황 학술분과장은 이러한 공격이 의료정보 유출 및 진료 중단 등 심각한 피해를 초래할 수 있으므로 철저한 대응이 필요하다고 강조했다.
6. 다중 인증
의료분야에서는 전통적으로 ID와 패스워드를 이용한 지식 기반 인증 방식을 사용해왔다. 그러나 사용자 인증에 대한 다양한 문제가 발생함에 따라 다중 인증(MFA, Multi-Factor Authentication)이 요구되고 있다. 특히 FIDO(Fast Identity Online)와 같은 새로운 인증 체계가 해결책으로 떠오르고 있다.
7. 업무망과 인터넷망 분리
망 분리는 랜섬웨어 및 해킹으로부터 내부 시스템을 보호하고 개인정보 유출을 근본적으로 해결할 수 있는 방법이다. 황 학술분과장은 많은 병원들이 망 분리를 도입 추진 중이거나 검토하고 있으며, 이를 통해 정보보안 수준을 높일 수 있다고 설명했다.
8. 원격의료 보안
코로나19 이후 비대면 사회로의 전환이 가속화되면서 원격의료에 대한 논의가 본격화되고 있다. 황 학술분과장은 원격의료의 효율성을 높이기 위해 사용자 인증, 민감정보 유출 방지, 의료사고 발생 시 책임 소재 등을 명확히 규정할 필요가 있다고 강조했다.
9. 업무연속성과 회복탄력성
2022년 카카오 서비스 중단 사고와 2023년 정부 행정전산망 네트워크 장애 사건 이후, 재난 대비 및 복구의 중요성이 강조되고 있다. 황 학술분과장은 특히 IT 서비스의 안정적인 운영이 병원의 업무 연속성과 회복 탄력성을 확보하는 데 필수적이라고 언급했다.
10. 제로 트러스트 보안 모델의 필요성
기존의 경계 보안 방식이 내·외부 네트워크 경계가 모호해지면서 한계를 드러내고 있다. 황과장은 제로 트러스트 보안 모델의 필요성을 강조하며, 민감한 의료정보를 안전하게 보호하기 위한 새로운 접근 방식이 필요하다고 말했다.
그는 "정보보안에서 가장 중요한 것은 신뢰하지 않고 항상 검증하는 태도, 즉 제로 트러스트 원칙을 준수하는 것"이라며 "이는 의료기관의 정보보안을 강화하는 데 필수적"이라고 말했다.
보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
이번 MPIS 2024는 보건복지부, 대한병원정보보안협회 등의 후원으로 개최됐다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★