소만사 최일훈 소장 “개인정보 전반에 걸친 선한 관리자 의무 다해야
미국 의료정보 관리시스템 보안기구 통계에 따르면, 조사 응답자 27%는 지난 1년 동안 최소 1건의 보안유출 사고를 경험했고 응답자 79%는 보안사고에 직원들이 관련있다고 말했으며 이 가운데 대부분은 아웃소싱 업체나 계약직 직원들 잘못으로 지목했다. 또 사고 절반은 개인이 일반적으로 환자의 이름과 생년월일로 식별되는 정보에 무단으로 접근함으로써 발생한 것으로 조사됐다.BYOD의 정보유출을 우려하는 CIO들도 증가하고 있다. 2008년에는 BYOD의 정보유출을 우려한 응답자가 4%에 불과했지만 2010년에는 20%, 2012년에는 무려 31%로 증가했다.
한국의 경우도 마찬가지다. 원격의료로 대표되는 e-Helath의 경우, 의료정보의 이동성이 증가하고 이동량도 많아지면서 의료정보에 대한 외부로부터 공격가능성이 증가하고 있고 인터넷을 활용한 건강정보 제공 사이트에 회원으로 가입하여 건강정보를 주고받는 의료서비스의 경우, 축적된 개인의 의료정보가 외부의 공격자에게 공격 당해 개인의 민감한 의료정보가 유출될 수 있는 상황이다.
소만사 최일훈 부사장은 “원격지 환자를 진료하는 원격의료에서 교환 및 저장되는 데이터에 대한 보안장치가 허술한 경우, 해커 등 공격자들로부터 쉽게 공격을 받아 민감한 개인의료정보가 유출될 수 있으며 현행 의료법에는 원격의료를 위한 시스템에 대한 제도적 규정이 확립되지 않아 보안위협이 가중되고 있다”고 우려했다.
또 “센싱과 모니터링 기능으로 대표되는 u-Health의 경우, 센싱 기능의 부정확성으로 인한 진단 오류, RFID 등을 이용한 과도한 개인정보 수집으로 인한 프라이버시 침해 등의 가능성이 증가하고 있으며 건강상태를 다양하게 측정하고 진단하기 위해, 복잡하고 다양하게 수집되는 개인 의료정보의 양이 폭발적으로 증가함에 따라 보안대상 또한 폭발적으로 증가하고 있다”며 “도처에 존재하는 센서를 통해 특정 개인은 물론 타인의 정보까지 과도하게 수집될 수 있으며 기타 개인 정보와 결합할 경우, 병원이 빅브라더(Big Brother)로 존재할 가능성이 크다”고 강조했다.
한편 자신의 성형수술 전후 사진을 모 성형외과 홈페이지에서 발견한 여대생이 손해배상을 청구해 일반적인 배상금의 20배인 400만원을 배상받은 사례도 있다. 의료기관이 다루고 있는 정보들이 얼마나 민감한지를 단적으로 보여주는 사례라 할 수 있다.
소만사 최일훈 부사장은 “원격지 환자를 진료하는 원격의료에서 교환 및 저장되는 데이터에 대한 보안장치가 허술한 경우, 해커 등 공격자들로부터 쉽게 공격을 받아 민감한 개인의료정보가 유출될 수 있으며 현행 의료법에는 원격의료를 위한 시스템에 대한 제도적 규정이 확립되지 않아 보안위협이 가중되고 있다”고 우려했다.
또 “센싱과 모니터링 기능으로 대표되는 u-Health의 경우, 센싱 기능의 부정확성으로 인한 진단 오류, RFID 등을 이용한 과도한 개인정보 수집으로 인한 프라이버시 침해 등의 가능성이 증가하고 있으며 건강상태를 다양하게 측정하고 진단하기 위해, 복잡하고 다양하게 수집되는 개인 의료정보의 양이 폭발적으로 증가함에 따라 보안대상 또한 폭발적으로 증가하고 있다”며 “도처에 존재하는 센서를 통해 특정 개인은 물론 타인의 정보까지 과도하게 수집될 수 있으며 기타 개인 정보와 결합할 경우, 병원이 빅브라더(Big Brother)로 존재할 가능성이 크다”고 강조했다.
한편 자신의 성형수술 전후 사진을 모 성형외과 홈페이지에서 발견한 여대생이 손해배상을 청구해 일반적인 배상금의 20배인 400만원을 배상받은 사례도 있다. 의료기관이 다루고 있는 정보들이 얼마나 민감한지를 단적으로 보여주는 사례라 할 수 있다.
개인정보 침해사고를 분석하면서 최일훈 소장은 “웹서버 경우 한번에 한두건씩 누적으로 수십만건을 조회해 유출하는 사고가 실제로 발생했다. 하지만 기존 DB방화벽은 어플리케이션을 통한 개인정보 과다 조회 식별능력이 없다. 1천여 개 지점에서 각각 한번씩 조회했는지, 한 곳에서 1천번을 조회했는지 식별이 어렵다는 것”이라며 “최종 조회자 추적을 통해 개인정보 과다 조회에 대한 통제가 필요하다”고 강조했다.
또 “DB접속 권한자가 악성코드 배포 사이트를 방문하거나 이메일 첨부파일로 악성코드에 감염되고 이후 DB접속 계정과 패스워드가 탈취당한다. 공격자가는 권한자가 부재시 DB에 정상 접속해 대량 개인정보 파일을 빼내가게 되는 사례가 많다. 또 관리가 허술한 웹서버의 취약점을 활용해 웹쉘을 설치후 관리자 권한을 획득해 개인정보를 유출해 가는 방법 등이 사고 사례로 이어지고 있다. 주민번호 평문 보관 혹은 무단 보관은 그 자체만으로도 법규정 위반이기 때문에 각별히 주의해야 한다”고 강조했다.
최 부사장은 피해를 예방하거나 최소화하기 위해 개인정보에 대한 기술적 통제 체제(거버넌스) 획득을 강조했다. 개인정보 보유현황을 분석하고 개인정보 과다 조회 및 활용 통제, 개인정보 외부 전송 및 무단 유출 등에 대한 통제와 감사의 중요성을 역설했다.
그는 “개인정보 라이프 사이클에 걸친 선한 관리자의 의무를 다해야 한다”며 “선한관리자 의무 준수를 위해 유출 사고재발방지, 컴플라이언스 준수, 동종업계 평균이상 보호조치가 필요하고 사고에 대한 선제 대응 및 사후 분석을 위해 개인정보 통합관제 및 빅데이터 처리 체계가 필요하다”고 밝혔다.
더불어 개인정보 계층적 보호조치를 위해 “불필요한 개인정보 파일을 검출, 삭제, 암호화해야 한다. 물론 1회성이 아닌 주기적 지속적 체크가 중요하다. 또 사내에 웹하드, 음란, 파일공유, 상용웹메일 등을 차단해 악성코드 유입을 막기 위한 세이프 브라우징을 실천하고 DB방화벽에서의 개인정보 과다 조회 통제, DB-DLP(망분리)로 외부 개인정보 파일 전송 및 유출을 통제관리가 되어야 한다. 물론 망분리, 바이러스 통제, DB암호화, 서버 접근통제 등 보호조치 결합이 중요하다”고 강조했다.
소만사 최일훈 부사장의 상세한 MPIS 2014 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
<★기업 정보보안 대표 매체 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
