국제표준 정보보호 관리체계 ISO 27001, ISO 27799에 맞춰 개인정보보호 정책 수립해야
2팩터 인증 사용, 최소한의 엑세스 권한 관리 제어, 데이터 중심 보안 강화 필요
헬스케어 산업이 디지털 기술 기반으로 급성장하고 있습니다. 특히 코로나19로 인해 원격의료 행위가 증가하고, 빅데이터를 통한 개인 맞춤형 건강관리로 발전하고 있습니다. 미국 보건복지부에서 2022년 3월 15일 발표한 보고서에 따르면 미국에서 코로나19 발생 첫 해(2020년 3월~2021년 2월)에 2,800만 명이 넘는 메디케어 수혜자가 원격의료 서비스를 이용한 것으로 나타났습니다. 이는 전년도(2019년)보다 88배 폭증한 것으로 전체 메디케어 수혜자의 약 43%에 해당하는 수치입니다.
▲중소규모 의료기관의 보안관리 평가 모델 설계[자료=GC케어]
글로벌 컨설팅 회사인 McKinsey는 많은 미국인들이 병원에 가지 않고 가정에서 치료 서비스를 받을 수 있는 홈케어를 선호한다고 분석했습니다. 또한, 미국 메디케어 행위별 수가제(Fee-for Service) 및 메디케어 어드밴티지(MA) 수요자 중 최대 2,650억 달러 규모의 의료 서비스가 2025년까지 전통적인 병원 치료 형태에서 홈케어로 이동할 것으로 전망했습니다.
이러한 가운데 Akili Interactive는 스마트폰 및 태블릿 장치에서 몰입형 비디오 게임 경험을 통해 8~12세 아동의 주의력결핍행동장애(ADHD)를 치료할 수 있는 최초 FDA 승인 디지털 치료제 ‘EndeavorRx’를 선보였습니다. 또한, 가상공간에서 시뮬레이션을 통해 환자의 결과를 예측하고 최적화하는 메타버스와 의료 서비스의 연결기술도 세상의 관심을 받았습니다.
이러한 기술 발전에 따라 의료기관과 헬스케어 기업의 정보보안과 개인정보보호도 중요해지고 있습니다. 의료기관과 헬스케어 기업은 전자처방 및 의사 결정지원 시스템, 지능형 난방, 환기 및 공조(HVAC), 주입 펌프, 의료 사물인터넷(IoMT) 장치 등이 모두 사이버범죄 위협을 받을 수 있기 때문입니다. 위협을 받는 유형으로 피싱, MITM, 네트워크 취약성 공격, 랜섬웨어를 들 수 있습니다.
이에 대한 대응방안으로 GC케어 최중우 팀장은 PIS FAIR 2022 강연을 통해 ISO/IEC 27001(정보보호경영시스템), ISO 27799(의료개인정보보호 경영시스템), 미국 NIST SP 800-66(의료정보보호법), 실행 가이드문서), JCI(국제의료기관평가위원회), JCQHC(일본의료기능 평가기구). 국내 ISMS-P, 개인정보보호자율점검표(대한병원협회), 의료기관을 위한 정보보호 안내서(병원편, 보건복지부), 개인정보보호가이드라인(의료기관편, 개인정보보호위원회) 기준을 참고할 것을 제안했습니다.
ISO/IEC 27001은 정보보호 관련 14개의 관리영역과 114개의 세부 항목으로 구분됩니다. ISO 27799 역시 의료정보 보호에 관한 국제 표준으로, 개인 의료 데이터의 기밀성, 가용성을 보장하기 위한 기준을 담고 있습니다. 규제 기준의 경우 엑세스 제어, 데이터 보안 등에 관한 사항이 명시돼 있습니다.
특히, 액세스 제어와 관련해 최중우 팀장은 “강력한 직무 분리 기능으로 한 명의 관리자가 데이터 보안 활동, 암호키 관리 모두를 제어해야 하며, 관리자 액세스를 위해 2팩터 인증을 사용해야 한다. 또한, 최소한의 액세스 권한 관리기능으로 관리자의 데이터 오용과 APT 공격으로부터 데이터를 보호해야 한다”고 설명했습니다.
이어 데이터 중심 보안을 강조한 최 팀장은 “암호화를 통해 데이터가 탈취되어도 복호화할 도구가 없을 경우 개인정보 데이터 유출 방지가 가능하다”며, “분산된 암호키를 통합 키 관리로 간소화하고, 승인된 암호화 서비스에만 키를 제공해야 한다”고 당부했습니다.
이와 함께 그는 “비정상적인 데이터 액세스 활동을 모니터링해 식별하고 사용자의 데이터 액세스에 대한 상세한 로그 분석을 통해 어떤 데이터에 액세스 했는지, 내부 정책에 따른 승인된 엑세스인지 모니터링 강화가 필요하다”고 강조했습니다.