2021-10-23 20:50 (토)
[MPIS 2021] 파이오링크, 의료분야 ISMS-P 인증컨설팅 수행 실적 1위 점유
상태바
[MPIS 2021] 파이오링크, 의료분야 ISMS-P 인증컨설팅 수행 실적 1위 점유
  • 길민권 기자
  • 승인 2021.07.11 13:19
이 기사를 공유합니다

의료기관 ISMS-P 수립 위한 개인정보보호 이슈 및 대응방안 제시
국내 최대 의료기관 정보보안 컨퍼런스 MPIS 2021에서 파이오링크 김영준 실장이 ‘의료기관 ISMS-P 수립을 위한 개인정보보호 이슈 및 대응방안’을 주제로 강연을 진행하고 있다.
국내 최대 의료기관 정보보안 컨퍼런스 MPIS 2021에서 파이오링크 김영준 실장이 ‘의료기관 ISMS-P 수립을 위한 개인정보보호 이슈 및 대응방안’을 주제로 강연을 진행하고 있다.

국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2021이 지난 6일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 파이오링크 김영준 실장은 ‘의료기관 ISMS-P 수립을 위한 개인정보보호 이슈 및 대응방안’을 주제로 강연을 진행했다.

김영준 실장에 따르면, 의료기관의 정보보호관리체계(구ISMS)수립은 “정보통신망이용촉진 및 정보보호에 관한 법률(이하 정보통신망법’이라 함) 제47조, 동법 시행령 제49조 제2항 제1호(가. 의료법 제3조의4에 따른 상급종합병원)”에 따라 상급종합병원이 의무대상자로 지정된 이후 대부분의 상급종합병원이 인증을 획득했다. 하지만 신(New) 관리체계인 정보보호 및 개인정보보호관리체계(ISMS-P)로 통합 및 전환된 이후 개인정보보호인증 영역(개인정보처리단계별 요구사항)은 대부분 의료기관의 숙제처럼 남아있는 영역이다.

전자에 설명한 정보보호영역은 “정보통신망법”에 따라 의무대상으로 지정되어 인증을 획득하였지만, 개인정보보호법 제32조의2 (시행령 제32조의2~8) 에 따른 개인정보보호 부문을 포함한 ISMS-P인증(구ISMS + PIMS)을 획득한 병원은 매우 극소수에 불과하다(2021년5월기준 1개병원/isms.kisa.or.kr 게시기준).

그래서인지 대부분의 의료기관 정보보호 및 개인정보보호담당자들은 언젠가는 개인정보보호 영역이 포함된 ISMS-P인증으로 확대해야 함을 인식하고있으며, 대량의 개인정보를 처리하는 병원으로서는 개인정보 유출에 대한 위험성을 낮추기 위해 반드시 거쳐가야 할 길이 되리라 예상된다.

따라서 이번 발표에서는 개인정보영역이 제외된 정보보호관리체계(ISMS)인증만을 획득한 대다수의 의료기관이 향후 개인정보보호관리체계(구 PIMS)영역이 포함된 ISMS-P 인증을 준비하는 과정에서 고려되어야 할 이슈사항과 대응방안을 4개의 챕터를 통해 살펴보고는 시간을 가졌다.

첫째, 개요부문에서는 ISMS-P인증범위(정보보호&개인정보보호)의 차이를 명확히 이해하고자 서비스 및 개인정보처리를 위한 “조직, 장소, 정보시스템” 관점에서 인증범위를 살펴보고 있다. 특히, 정보서비스 중심의 서비스운영을 위한 “조직/인력, 시스템운영장소, 정보시스템”과 개인정보처리를 위한 “조직/인력, 장소, 개인정보처리시스템”을 비교하여 차이점을 이해하는 것이 필요하다. 그리고 ISMS-P인증기준에서 요구하는 개인정보처리단계별 요구사항과 요구사항 별 어떤 법적 근거에 기반하여 기준을 준수해야 하는지 개인정보보호법을 통해 살피고 있다.

둘째, 국내 의료기관에서 ISMS 및 ISMS-P인증 획득 사례(21년5월기준)는 매우 적다. 따라서 기존의 ISMS인증을 획득한 병원이 ISMS-P 인증 획득으로 전환 시 참고가 될 수 있는 타 의료기관의 인증현황을 소개하고자 한다.

셋째, 기존 ISMS 인증만을 획득한 의료기관에서 ‘개인정보처리단계별 요구사항’이 포함된 ISMS-P인증으로 확대 시 고려되어야 할 이슈사항을 Top4로 선정하였고 이를 소개하고 있다. Top4 이슈사항은 “범위, 수집/이용, 제공, 접근권한” 관련 이슈사항이다. 첫번째, 범위 이슈에서는 홈페이지, EMR, OCS, PACS 등 다양한 영역을 포함해서 인증을 받아야 하는지? 아니면 선택적으로 범위를 축소해서 받아야 하는지? 실제 국내 병원 사례를 통해 이를 현실적으로 접근할 수 있도록 소개하고자 한다. 두번째, 수집 이슈에서는 개인정보보호법에 근거한 최소수집원칙 준수, 주민번호/고유식별정보/민감정보 처리에 대한 법적 근거에 대해서 살펴보고 있다. 세번째 제공 이슈에서는 제3자에게 제공하는 개인정보에 대한 이슈사항을 소개하고 있다. 네번째 접근권한 이슈에서는 비용절감 및 효율적인 운영측면과 법준거성 측면에서 가장 효과적인 접근법을 제시 할 접근권한 이슈에 대해서 소개하고 경험적인 컨설팅노하우을 소개하고자 한다.

넷째, ISMS-P수립에 필요한 핵심 사항인 “개인정보흐름분석”에 대해서 개인정보흐름표 및 흐름도 작성 방안에 대해서 소개하고 발표를 마무리하고자 한다. 이번 발표가 의료기관의 ISMS-P인증 획득과 이를 통해 개인정보보호 수준 향상에 기여하길 기대한다고 밝혔다.

파이오링크가 MPIS 2021 전시회에 참가해 의료기관 보안실무자들에게 국내 시장 점유 1위인 애플리케이션 전송 컨트롤러, 웹방화벽, 클라우드 보안스위치 등을 소개하고 있다.
파이오링크가 MPIS 2021 전시회에 참가해 의료기관 보안실무자들에게 국내 시장 점유 1위인 애플리케이션 전송 컨트롤러, 웹방화벽, 클라우드 보안스위치 등을 소개하고 있다.

◇파이오링크, 의료분야 ISMS-P 인증컨설팅 수행 실적 1위 점유

파이오링크(대표 조영철)는 정보보호 및 네트워크 전문 기업으로 다양한 제품과 서비스를 제공한다.

정보보호 사업부분에는 보안관제 및 보안컨설팅 서비스가 있으며, 특히 정보보호관리체계 인증 부분에서 의료분야 ISMS-P 인증 컨설팅 수행 실적 1위를 점유하고 있다.

대표 제품으로는 국내 시장 점유 1위인 애플리케이션 전송 컨트롤러, 웹방화벽, 클라우드 보안스위치 등이 있으며, 업계 최고의 애플리케이션 가용성과 성능을 보장하고, 안전한 웹 서비스, 쉬운 네트워크 관리 및 보안을 제공한다.

△AI 웹 보안에 최고 성능을 더했다…파이오링크 웹방화벽

웹방화벽은 일반적인 네트워크 방화벽과 달리 웹 애플리케이션 보안에 특화된 솔루션이다. 대표적으로 SQL 인젝션, 크로스사이트스크립팅(XSS) 등과 같은 웹 공격을 탐지하고 차단한다. 또한 정보유출 방지, 부정로그인 방지, 웹사이트 위∙변조 방지 솔루션으로 활용할 수 있다.

파이오링크의 웹방화벽인 웹프론트-K는 병원, 공공, 금융, 포털 등 다양한 산업에서 웹 보안과 성능을 인정 받고 있다. 웹 보안에 최적화된 자체 개발 플랫폼으로 국내 최고 성능과 AI 머신러닝 위협 탐지, 고성능 SSL 암∙복호화 처리 등이 강점이다. 또한 클라우드 환경에서 자사 보안관제, 보안컨설팅과 함께 웹 보안을 서비스하면서 시장을 확대하고 있다.

파이오링크는 웹방화벽 매출의 40% 이상이 고성능 모델이 차지한다. 2~3Gbps급이 시장 평균 모델임을 감안할 때 10~40Gbps 고성능 모델 비중이 매우 높은 편이다. 온디멘드 성능 확장 라이선스를 제공하기 때문에 웹방화벽 도입 당시 필요한 만큼 라이선스를 체결하고, 확장이 필요할 때 장비 교체 없이 라이선스 갱신만으로 성능을 높일 수 있다.

전용 보안엔진에는 다양한 위협 탐지 기술이 적용돼 있다. 시그니처부터 논리분석, 애플리케이션 학습, AI 머신러닝 기술까지 적용돼 신규 및 변종 공격을 차단 하는 등 제로데이 공격에 신속하게 대응할 수 있다. 특히 AI 머신러닝 위협 탐지 기술은 파일과 데이터를 비지도 학습하여 정상과 비정상 특징을 구분하고 분류하면서 스스로 위협 규칙이나 기준을 만든다. 그리고 지속적으로 탐지 결과를 업데이트하면서 오탐률을 낮추기 때문에 더욱 정교한 위협 탐지가 가능하다. 이는 담당자의 보안 관리 소요 시간도 줄여준다.

웹프론트-K는 복잡한 연산이 필요한 SSL 암∙복호화 처리를 소프트웨어뿐만 아니라 전용 하드웨어 가속 카드에서 동시 처리하기 때문에 암∙복호화 과정에서 발생하는 트래픽 속도 저하를 해결하고 높은 성능을 보장한다. 또한 복호화된 트래픽을 IDS, 안티바이러스, 안티DDoS 등 다양한 보안 장비로 전달하고, 비정상적인 트래픽으로 확인되면 웹프론트-K에서 해당 트래픽을 차단하는 서버사이드 SSL 가시성도 제공한다.

복잡한 SSL 설정을 간편하게 하는 SSL 보안등급 설정 기능이 있다. 클릭 한번에 원하는 등급에 맞는 SSL 프로토콜, 키 교환 강도, 암호 알고리즘 등을 바로 적용할 수 있다. 그밖에 로드밸런싱, 캐싱, 압축, QoS 기능도 지원한다. 또한 앤서블(Ansible), REST API 등 다양한 프로토콜 지원으로 클라우드 환경에서 관리가 쉽고, 보안관제시스템(SIEM), 네트워크관리시스템(NMS) 등과 연동해 보안 위협에 대한 가시성을 높일 수 있는 것이 장점이다.

파이오링크는 웹프론트-K는 하드웨어 어플라이언스 뿐만 아니라 다양한 하이퍼바이저 및 NHN 클라우드, AWS, 애저 등 클라우드 플랫폼도 지원하고 있다. 특히 NHN 클라우드에는 자사의 보안관제, 보안컨설팅 서비스와 함께 기업, 금융, 공공 등 고객 사이트를 보호하며 시장을 확대해 나가고 있다.

코로나19로 비대면, 디지털 전환이 빠르게 일어나면서 인터넷 트래픽이 폭증하고, 지능화 고도화된 해킹 공격으로 보안 중요성이 더욱 부각됐다. 진화하는 사이버 위협에 대응하여 보안 시장도 한층 성숙되고 있다. 파이오링크도 보안컨설팅 및 보안관제 서비스, 웹방화벽과 다양한 보안솔루션 등으로 보안 시장에서 지속적으로 영향력을 확대해 나가고 있다.

파이오링크 MPIS 2021 강연자료는 데일리시큐 자료실에서 다운로드 가능하다. 다음은 파이오링크 MPIS 2021 강연영상이다.

★정보보안 대표 미디어 데일리시큐!★