이 자리에서 안병현 좋을(대표 오주형) 연구소장은 'IT 외주인력 보안! 정보보호 담당자의 책임'이란 주제로 강연을 진행했다. 안 소장의 발표내용은 아래와 같다.
병원에서 수행되는 정보화 사업은 사업자 선정에서 종료 후 철수까지 수행되는 전체 사업 구간에서 외주개발, 운영/유지보수, 솔루션/의료기기의 도입 등의 사업 형태와 전산실, 행정실 등 주관부서에 따라 구분해 보면 수행 형태는 점점 다양화되고 있다. 이 모든 과정에서 병원의 정보보호 담당자는 각 영역에 있어서 정보보호 업무와 관련된 책임과 의무를 가지고 있다.
병원 내 존재하는 다양한 의료 기기들에서는 개인정보 데이터가 생산, 수집되고 있으며 이러한 데이터들은 권한을 보유한 다수의 병원 구성원들에 의해 운용되고 있다. 장비 운용 과정에서 사용자와 장비 유지보수 엔지니어의 부주의는 새로운 데이터의 유출 위험을 초래하고 있다. 더욱이 의료기기가 대형화될수록 네트워크에 직접 연결되어 운용되고 있기 때문에 네트워크를 통한 정보보호 이슈는 점점 더 중요해지고 있는 상황이다.
병원 전산실 혹은 의공학팀과 같은 부서에서는 네트워크 운영, 사용 PC 관리, 의료기기, 사용하는 다양한 IT 기기 운영, PACS 와 같은 의료 서비스용 서버 관리 등의 측면에서 발생 가능한 정보보호 업무가 존재하고, 이런 내용은 개인정보보호법과 ISMS 인증 의무화 등을 통해 강제하고 있는 상황이다.
반면 병원에서 정보보호 업무와 관련 되어 도입되는 각종 기술들은 증가하는 위협에 비해 부족한 면이 있어 유사하게 관리되고 있는 공기업들에서 적용되는 기술들의 변화 상을 통해 필요로 하는 정보보호 기술의 변화를 살펴보고자 한다.
기업의 측면에서는 내부 네트워크의 구성을 내부 직원망, 외주 업체 개발망, 관리망 등의 업무 유형으로 분리하여 관리하는 최대 5 구간의 망분리를 도입하고 있으며, 서버와 PC 를 가상 환경에서 사용할 수 있도록 하는 서버 가상화, PC 가상화 기술 최근에는 MS 사의 기술지원 중단으로 인해 윈도우7을 윈도우10으로의 일괄 변경 등이 적용되고 있다.
정보보호 담당자는 직접 사업 담당자가 아닌 경우가 많지만 각 사업에 관련된 정보보호 업무는 최종적으로 책임을 지고 관리해야 하는 책임자라 할 수 있다. 특히 서비스 장애가 발생된 경우에 외부 공격에 의한 장애의 위험도 있어서 파이어월부터 개별 서버, 장비에 이르는 전체 구성 요소들에 대해 살펴보고 원인을 파악하는 과정에 정보보호 담당자가 주축이 되어 진행되고 있으며, 이 과정을 위한 서버 접속 명령어, SQL Query, 윈도우 서버 접속 중의 동영상 로그 수집 등에 대한 노력들이 추가되고 있다.
이와 같은 공기업들의 정보화 사업과 운영 과정에서 도입되는 각종 기술들은 병원에도 도입되어 적용되어 정보보호 담당자들의 업무 효율성을 향상시키고 실질적인 정보보호 효과를 얻을 필요가 있다.
좋을의 통합 IT 외주관리 플랫폼 'J-TOPS'는 다양한 정보보호 담당자들의 업무 책임을 효율적으로 수행할 수 있도록 기술적 측면과 관리적 측면, 증적 자료 수집, 보관 등에 있어서 필요한 정보보호 업무를 통합 환경에서 구성해 다양한 분야에 도입되어 운용되고 있다. 특히 한국원자력의학원, 건국대학교병원, 국립중앙의료원 등에 도입되어 운영 중으로 병원 관련 분야에서 그 역할과 의미에 대해서는 검증받았다고 할 수 있다.
병원내에 존재하는 다양한 정보화 사업과 정보보호 업무에 있어서 정보보호 담당자로서 책임을 다할 수 있도록 J-TOPS를 도입하기를 제안한다.
안병현 좋을 연구소장의 MPIS 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★