좋을 안병현 연구소장은 “의료 기관은 많은 양의 개인정보를 수집, 사용하고 있어 개인정보보호법에 따라 필요한 보안정책을 수립하고 시행해야 한다. 더욱이 개인정보 탈취를 목표로 발생하는 사이버 범죄의 유형과 피해 규모도 급격히 증가하고 있는 상태”라며 “정보보호체계인증(ISMS)는 이러한 배경에서 만들어진 보안인증 체계다. ISMS 인증 대상 확대 정책으로 대형 병원들이 포함되었고, 지속적으로 범위가 확대될 것이다. ISMS 인증을 위해서는 물리적, 관리적, 기술적 조치 사항들이 제시되고 있고, 이를 준수해야만 최소한의 개인정보 보호활동을 수행하고 있다”고 서두에 밝혔다.
현실적으로의료기관 보안 인력의 부족, 전문성의 부족은 IT플랫폼을 도입해서 지원 받아야 하는 상태다. 특히 병원 내외부의 시스템 개발/유지보수를 위한 다수의 외주인력에 대해서는 보안 측면에서 깊은 관심을 가지고 관리해야 한다.
외주인력이 처음 투입되는 시점에 ‘보안서약서’를 받아 ‘작업자 ID’를 생성하고, 필요한 보안 교육을 적절한 시점에 반드시 받을 수 있도록 하며 해당 수강 이력을 자동으로 관리한다.
또한 업무 수행에 필요한 일부 IT 자산에 대해서만 접근과 사용을 허락할 수 있도록 정책을 통해 통제한다. 정책에 위배되는 모든 활동에 대해서는 ‘실시간 로그와 동영상 수집’ 기능을 통해 모니터링할 수 있으며, 필요시 작업자 PC에 대한 ‘강제 셧다운’ 기능을 수행할 수 있다.
수집된 모든 증적로그를 기반으로 다양한 통계분석을 통해 작업자 이상 행동을 파악해 조치할 수 있으며 각종 보안점검과 감사에 필요한 보고 데이터를 생성해 보안관리자가 수행해야할 보고서 작성 등에 대한 행정 업무 관련 시간을 최소화할 수 있다.
필요한 경우, 예를들면 병원 내부의 특정 부서 직원들이 보안에 민감한 시스템에 접속할 수 있고 이런 직원들을 대상으로 적절한 보안 대책을 수립해야 하는 경우에도 J-TOPS는 최적의 플랫폼으로써 사용될 수 있다고 말한다.
J-TOPS는 3개의 관련 특허를 기반으로 개발되었고, 지금까지 원자력의료원, 국무조정실, 우정본부, 한국광물자원공사 등의 많은 기관에 도입되어 안정성을 확인할 수 있다. 또 올해 1월 GS인증(1등급)을 획득해 ‘통합 IT 외주관리 플랫폼’으로 보안관리자를 위한 플랫폼으로 지속적으로 발전하고 있다.
좋을 안병현 연구소장의 MPIS 2017 발표자료는 데일리시큐 자료실에서 다운로드 할 수 있다.
★정보보안 대표 미디어 데일리시큐!★