데일리시큐는 지난 5월 21일 전국 국공립 의료기관 및 대학·민간 병원 개인정보보호 및 정보보안 책임자와 실무자 300여 명이 참석한 국내 최대 ‘2024 의료기관 정보보안 컨퍼런스’(MPIS 2024)를 더케이호텔서울 2층 가야금홀에서 성황리에 개최했다.

이번 MPIS 2024에서 KISA 개인정보조사단 문봉주 팀장은 ‘의료기관 개인정보 유출 사고 대응방안’을 주제로 강연을 진행했다. 문 팀장은 개인정보 유출 사고의 개요부터 구체적인 분석 및 대응 방안까지 체계적으로 설명하며, 실무자들이 현장에서 즉시 활용할 수 있는 다양한 정보를 공유했다.

문 팀장은 먼저 개인정보 유출의 정의에 대해 설명했다. 개정된 개인정보보호법에 따르면, 개인정보 유출은 개인정보처리자의 관리 통제권을 벗어나 제3자가 알 수 있는 상태에 이르게 되는 것을 의미한다. 구체적으로, 다음과 같은 경우가 포함된다:

△개인정보가 포함된 장치나 문서의 분실 또는 도난 △권한 없는 자가 개인정보처리시스템에 접근한 경우 △개인정보처리자의 고의 또는 과실로 인해 개인정보가 잘못 전달된 경우 등이다.

개인정보 유출 사고가 발생하면, 해당 정보주체에게 72시간 이내에 유출 사실을 통지해야 한다. 통지는 홈페이지 공지, 서면, 문자 메시지, 이메일 등의 방법으로 이루어질 수 있다. 유출 신고는 유출된 개인정보가 1천 명 이상이거나 민감정보, 고유식별 정보가 포함된 경우, 그리고 해킹으로 인해 발생한 경우에 의무적으로 시행해야 한다.

◆개인정보 유출 사고 분석

1. 유출 사고 처리 절차

문 팀장은 유출 사고 처리 절차를 단계별로 설명했다. 유출 신고가 접수되면, 개인정보보호위원회는 사고 조사 착수 여부를 결정하고, 필요시 KISA와 협력하여 기술적 분석을 수행한다. 조사 과정은 자료 확보, 현장 조사, 유출 경로 및 원인 분석, 피해 규모 확인, 보고서 작성 등으로 구성된다.

2. 개인정보 유출 사고 분석 사례

문 팀장은 다양한 사례를 통해 개인정보 유출 사고의 원인과 경로를 설명했다. 예를 들어, 한 대형 병원에서 다수의 병원 관계자가 처방자료를 제약사 영업직원에게 이메일이나 USB로 제공한 사례가 있었다. 또한, 간호사가 교수의 ID/PW를 이용해 무단으로 시스템에 접속해 환자 개인정보를 유출한 사례도 소개되었다.

◆개인정보 유출 사고 대응

1. 외부 공격 대응

외부 공격으로 인한 유출 사고에 대비해, 문 팀장은 시스템 분리 및 차단 조치, 관련 로그 등 증거자료 확보, 유출 경로 및 원인 분석 등의 대응 방안을 제시했다. 특히, 크리덴셜 스터핑 공격에 대한 대응으로 보안 장비를 통한 비정상 행위 탐지와 차단의 중요성을 강조했다.

2. 시스템 오류 대응

시스템 오류로 인한 유출 사고 예방을 위해 소스코드, API 설정, 서버 설정 등을 개선하고, 형상 관리를 통해 변경 사항을 기록하는 등의 조치가 필요하다고 설명했다. 또한, 멀티스레드 환경에서 세션 키 값이 삭제되지 않아 발생한 개인정보 노출 사례를 통해 예외 처리가 중요함을 강조했다.

3. 검색 노출 대응

검색엔진에 노출된 개인정보 삭제 요청, 관리자 계정 추가 인증, 소스코드 점검 등의 조치를 통해 검색 노출을 방지할 수 있다. 문 팀장은 이러한 조치가 개인정보 유출을 예방하는 데 필수적이라고 언급했다.

4. 고의 유출 대응

고의적인 유출 사고에 대해서는 엄중한 법적 처벌이 따르며, 예방을 위해 직원 교육과 정기 점검의 중요성을 강조했다. 예를 들어, 영업 직원이 보험 설계사의 개인정보를 DB 제공업체에 판매한 사례가 있었다.

문봉주 팀장은 강연을 마치며 “신속한 통지와 신고, 철저한 사고 분석, 체계적인 대응 절차, 예방을 위한 지속적인 교육과 점검. 이 네 가지 요소가 결합되어야만 의료기관이 개인정보 유출 사고를 효과적으로 방지하고 대응할 수 있다”고 강조했다.

이번 MPIS 2024 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

이번 MPIS 2024는 보건복지부, 대한병원정보보안협회 등의 후원으로 개최됐다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★