데일리시큐는 5월 21일, 전국 국공립 의료기관 및 대학·민간 병원 개인정보보호 및 정보보안 책임자, 실무자 300여 명이 참석한 가운데 국내 최대 ‘2024 의료기관 정보보안 컨퍼런스’(MPIS 2024)를 더케이호텔서울 2층 가야금홀에서 성황리 개최했다.
이번 MPIS 2024 컨퍼런스에서는 라온시큐어의 김태진 전무는 ‘제로트러스트 시대, 의료 기관에서의 내부 통제 강화 방안’을 주제로 발표했다. 김 전무는 제로트러스트 환경에서 의료기관의 내부 통제 강화를 위한 방안과 중요성을 상세히 설명하며 참석자들의 큰 호응을 얻었다.
김 전무는 발표를 시작하며 현재 인증 체계의 변화 필요성을 강조했다. 패스워드 기반 인증 체계는 여전히 많은 조직에서 사용되고 있지만, 여러 가지 문제점이 존재한다고 설명했다. 사용자 측면에서는 다수의 업무 시스템에 대한 패스워드를 관리하기 어렵고, 주기적인 변경으로 인한 피로도 누적, 해킹 위험 등이 주요 문제로 지적되었다. 운영자 측면에서도 패스워드 관리의 어려움과 지속적인 관리 필요성, 비밀번호 공유와 훔쳐보기로 인한 내부 통제의 어려움 등이 문제점으로 꼽혔다. 이러한 문제들은 결국 대규모 개인정보 유출 사고로 이어질 수 있다고 김 전무는 경고했다.
김 전무는 이어서 국내 보안 사고의 현황을 설명하며, 내부 직원에 의한 정보 유출이 전체 유출 사고의 45.7%를 차지한다고 밝혔다. 이는 재택 및 원격 근무자가 증가하면서 내부 정보 유출의 위험이 더욱 커지고 있음을 시사한다. 김 전무는 "통제 정책 및 시스템 미비로 인한 유출 피해가 확산되고 있다"고 덧붙였다. 악성코드, 피싱/스캠, 시스템 장악 등 다양한 유형의 침해 사고가 발생하고 있으며, 이러한 문제를 해결하기 위해서는 강력한 내부 통제와 보안 체계가 필요하다고 강조했다.
◆인증 트렌드
김 전무는 제로 트러스트(Zero Trust) 아키텍처의 핵심 요소를 설명하며, 제로 트러스트 환경에서 다양한 보안 정책과 다중 인증 요소를 적용해야 한다고 강조했다. 제로 트러스트는 식별자/신원, 네트워크, 기기/엔트포인트, 시스템, 응용/워크로드, 데이터 등 다양한 요소를 포함하는 보안 모델로, '절대 믿지 말고 계속 검증하라(Never Trust, Always Verify)'는 원칙을 기반으로 한다. 김 전무는 "경계 중심의 통제 정책에서 인증 중심의 통제 정책으로의 변화가 필요하다"고 말했다.
그는 또한 제로 트러스트 현황에 대해 설명하며, 2023년에는 많은 조직이 제로 트러스트 전략을 적극적으로 구현하고 있다고 밝혔다. 제로 트러스트 전략을 구현한 조직의 비율은 2021년 40%에서 2023년 66%로 증가했으며, 다수의 기업들이 2차 인증(MFA) 등 제로 트러스트 기반 사용자 인증을 위한 투자와 구축 계획을 확대하고 있다고 설명했다.
◆OnePass 인증통합플랫폼
김 전무는 라온시큐어의 OnePass(원패스) 인증통합플랫폼을 소개하며, 다양한 사용자 인증 수단을 제공하는 다중 요소 통합 인증 솔루션임을 강조했다. OnePass는 파이도(FIDO) 기반의 인증 수단과 FIDO2, OTP 등 다양한 인증 수단을 제공하며, 안전한 사용자 인증과 효율적인 인증 관리 기능을 지원한다. 김 전무는 "OnePass는 온프레미스와 클라우드 환경 구분 없이 안정적인 구축을 보장한다"고 말했다.
OnePass의 주요 특징 및 기능으로는 다중 요소 통합인증 환경 구축 지원, 사용자 인증 수단 모듈화 설계 및 선택적 적용 지원, 비밀번호 관리 대체 편의성 향상 및 관리 비용 감소 등이 있다. 김 전무는 다양한 생체인증 수단과 함께 OTP, PIN, 패턴, USB 동글, 음성 인증 등 다양한 인증 수단을 제공하며, 사용자 편의성을 높이는 동시에 보안성을 강화한다고 설명했다.
김 전무는 이어서 OnePass의 최적화된 설정 및 관리 기능을 소개하며, 직관적이고 심플한 메뉴 제공, 조직 및 사용자 관리 지원, 다양한 인증 수단 확장 지원 등을 강조했다. 또한, 윈도우 등 OS 로그인 단계에서의 생체인증 지원 기능을 설명하며, 사용자가 PC 로그인 시 다양한 인증 수단을 선택할 수 있도록 지원한다고 밝혔다.
◆OmniOne CX 통합인증
김 전무는 OmniOne CX 통합인증 서비스도 소개하며, 다양한 인증 수단을 통합하여 편리하게 사용할 수 있는 솔루션임을 강조했다. OmniOne CX는 인증서, 본인확인, 모바일 신분증, 디지털 증명서, 사설 인증서를 한번의 계약을 통해 하나의 통합 인증창으로 제공한다. 김 전무는 "다양한 외부 인증 수단을 통합 관리함으로써 사용자 편의성과 보안성을 동시에 충족할 수 있다"고 말했다.
이어 OmniOne CX의 도입 사례로 손해보험협회를 소개하며, 간편 인증, 전자서명, 본인확인, 모바일 신분증 등 다양한 디지털 증명서를 활용하여 서비스 확장성과 시장 변화 대응성을 높일 수 있다고 설명했다. 또한, 표준화된 API를 제공하여 연동 개발 및 유지보수가 용이하며, 고객사 리소스 절약과 통합 비용 절감 효과를 제공한다고 밝혔다.
◆OmniOne Badge / OmniOne NFT
김 전무는 OmniOne Badge와 OmniOne NFT를 소개하며, 디지털 자격증명 수단으로서의 가능성을 강조했다. OmniOne Badge는 성장과 경험의 새로운 디지털 기록 및 증명 수단으로, 학습자의 성과와 스킬을 인증할 수 있는 디지털 배지 서비스를 제공한다. OmniOne NFT는 블록체인 기반으로 고유성과 희소성을 갖춘 디지털 자산으로, NFT 학위증과 디지털 배지를 함께 관리할 수 있다.
김 전무는 발표를 마무리하며 제로 트러스트 환경에서 강력한 인증 체계를 구축하는 것이 필수적임을 강조했다.
그는 다양한 인증 수단을 통합 관리하여 사용자 편의성을 제공하는 동시에 보안성을 높여야 한다고 설명했다. 특히 내부 직원에 의한 정보 유출을 방지하고 보안을 강화하기 위한 노력이 필요하다고 언급했다.
또한, 디지털 트랜스포메이션 시대에 맞춰 최신 인증 트렌드를 반영하는 것이 중요하다고 강조했다. 마지막으로, 사용자 중심의 인증 수단 선택과 관리가 보안 강화에 있어 핵심적인 역할을 한다고 강조했다. 김 전무의 발표는 제로 트러스트 시대에 적합한 의료 기관의 내부 통제 강화 방안을 제시하며 참석자들의 큰 관심과 호응을 받았다.
보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
이번 MPIS 2024는 보건복지부, 대한병원정보보안협회 등의 후원으로 개최됐다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
