2019-11-14 23:57 (목)
박나룡 CISO "의료기관, 정보보호관리체계 갖춰 위험의 GAP 줄여 나가야"
상태바
박나룡 CISO "의료기관, 정보보호관리체계 갖춰 위험의 GAP 줄여 나가야"
  • 길민권 기자
  • 승인 2018.05.28 01:20
이 기사를 공유합니다

의료기관에서 주로 발생하는 주요 개인정보보호 위반 사례 공유

▲ 박나룡 브로콜리 CISO. 데일리시큐 주최 MPIS 2018에서 '의료기관 정보보호 인증 준비'를 주제로 강연을 진행하고 있다.
▲ 박나룡 브로콜리 CISO. 데일리시큐 주최 MPIS 2018에서 '의료기관 정보보호 인증 준비'를 주제로 강연을 진행하고 있다.
데일리시큐가 주최한 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2018이 전국 의료기관 정보보안 담당자 400여 명이 참석한 가운데 5월 24일 한국과학기술회관 대회의실에서 성황리에 개최됐다.

이 자리에서 박나룡 브로콜리 CISO/CPO(보안전략연구소 소장)는 '의료기관 정보보호 인증 준비'를 주제로 강연을 진행했다.

박나룡 CISO는 정보보호관리체계의 필요성에 대해 "지속적인 정보보호 관리없이는 위험의 GAP이 점점 커지게 된다. 2016년 개정된 시행령에 따라 상급 종합병원도 ISMS 인증 의무 대상이 된만큼 의료기관들도 정보보호관리체계를 갖춰 위험의 GAP을 줄여 나가야 한다"고 강조했다.

의료분야 정보보호 관리체계 인증범위는 다음과 같다.

의료정보시스템은 △전자의무기록(EMR), 진료, 진료지원, 원무 등 병원 업무 전반을 포괄하는 시스템 △처방전달시스템(OCS. EMR과 별도의 OCS를 운영할 경우 포함)이 포함된다.

원격의료시스템은 컴퓨터, 화상통신 등 정보통신 기술을 활용해 먼 곳에 있는 의료인에게 의료지식이나 기술을 지원하는 의료활동이 포함된다.

홈페이지 부문은 병원별로 인터넷에서 접근 가능한 모든 대고객 서비를 포함하고 있다. △의료기관 소개, 이용안내, 건강 정보 제공 △진료 예약, 조회 △진단검사결과 조회 △증명서 발급, 출력 △온라인 상담, 민원처리 등이 해당된다.

한편 의무 인증대상기관의 경우 인증범위는 신청기관의 인증 의무대상 요건에 해당하는 정보통신 서비스를 포함한다. 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증 범위에 포함되며 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근가능하다면 범위에 포함된다. 또 ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템도 포함된다.

박 CISO는 정보보호관리체계 인증심사 기준에서 정보보호 관리과정 5개 분야, 12개 인증항목과 정보보호 대책과 관련된 13개 분야, 92개 인증항목에 대해 설명하는 간략히 시간을 가졌다.

▲ 박나룡 CISO. MPIS 2018 발표 현장. [데일리시큐]
▲ 박나룡 CISO. MPIS 2018 발표 현장. [데일리시큐]
인증 심사원으로도 많은 경험을 축적하고 있는 그는 의료분야에서 주로 발생하는 주요 개인정보보호 위반 사례도 공유했다. 주요 내용은 다음과 같다.

△진료목적 외 개인정보 수집 위반 사례=모 병원은 홈페이지를 운영하고 있지만 회원가입은 받지않고 있다. 다만 상담 및 문의 게시판을 이용할 경우 문의자의 이름, 전화번호를 기재하도록 의무화하고 있다.

하지만 회원가입 없이 게시판을 이용한 상담, 문의 시에도 이름, 전화번호 등 개인정보를 수집할 경우 정보주체에게 필수항목을 거부할 권리가 있다는 사실 및 불이익 내용 등 4가지를 고지하고 동의를 받아야 한다. 이를 어길 경우 개인정보보호법 위반으로 600만원의 과태료를 부과받을 수 있다.

△개인정보 처리 위탁에 따른 조치사항 위반 사례=모 병원은 혈액검사, 시스템 유지보수, 홈페이지 등 수탁업체가 다수 존재하지만 홈페이지에 혈액검사 기관만을 공개했다. 이 경우 개인정보 처리 위탁에 따른 조치사항 위반으로 200만원의 과태료가 부과된다.

홈페이지 기관만 공개하는 것이 아니라 모든 수탁기관을 공개해야 하고 수탁기관과 위탁 업무내용까지 모두 공개해야 한다.

△접근권한 위반 사례=모 병원의 개인정보처리 시스템의 경우 각 ID별 권한을 부여할 수 있는 기능만 존재하고 그 이력관리에 대해서는 별도로 기능을 추가하지 않았다.

해당 병원은 개인정보 안전성 확보조치 위반으로 접근통제 및 접근권한 관리 미흡에 해당돼 과태료 600만원이 부과된다. 접근권한을 부여할 수 있는 권한 외에 접근권한 이력관리도 동시에 해야 한다. 이를 위해 개인정보처리시스템의 기능을 개선해 접근권한 이력관리가 이루어지도록 해야 한다고 밝혔다.

△개인정보 접속기록 위반 사례=모 병원은 개인정보처리시스템의 접속자 ID, 접속자 IP주소, 시간을 2년간 보관하도록 하고 있다. 이 경우 개인정보 안전성 확보조치를 위한 접속기록 관리 위반으로 600만원의 과태료과 부과된다.

접속자가 개인정보처리 시스템을 통해 어떤 업무를 수행했는지 파악할 수 있는 정보를 접속기록에 추가해야 한다고 설명했다.

△개인정보 암호화 조치 위반 사례=모 병원은 홈페이지를 통해 회원가입을 받고 있다. 회원가입시 개인정보(비밀번호)를 수집하고 있지만 개인정보를 암호화하지 않은 상태다. 이 경우 해당 병원은 암호화 조치 위반으로 600만원의 과태료를 받을 수 있다.

홈페이지에서 비밀번호를 수집하는 기관의 경우 비밀번호가 유출, 변조되지 않도록 통신 암호화(SSL, TLS 등) 조치를 하고 DB를 저장할 때는 일방향 암호화를 적용해야 한다고 강조했다.

박나룡 CISO의 MPIS 2018 상세 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★