①생성형 AI 보안 ②CPO 지정 의무화 ③개인정보보호법 위반 과징금 제도 변경
④의료기관 ISMS-P 인증 ⑤의료분야 공급망 공격 ⑥다중인증 ⑦업무망과 인터넷망 분리
⑧원격의료 보안 ⑨업무연속성과 회복 탄력성 ⑩Never Trust & Always Verify

[보안뉴스 김경애 기자] 첨단기술의 발달로 의료환경에서의 보안은 더욱 중요해지고 있다. 특히 생성형 AI 활용은 의료 분야에서 매우 유용할 수 있는 반면, 보안 위협도 동시에 커지고 있다.


[이미지 = gettyimagesbank]

이와 관련 분당서울대학교병원 황연수 CISO는 의료환경에서의 정보보안 키워드 10으로 ①생성형 AI 보안 ②CPO 지정 의무화 ③개인정보보호법 위반 과징금 제도 변경 ④의료기관 ISMS-P 인증 ⑤의료분야 공급망 공격 ⑥다중인증 ⑦업무망과 인터넷망 분리 ⑧원격의료 보안 ⑨업무연속성과 회복 탄력성 ⑩Never Trust & Aiways Verify를 꼽았다.

키워드 선정 기준에 대해 황연수 CISO는 “병원정보보안협의회 회원을 대상으로 한 키워드 응모 및 추천과 현재 보안 트렌드를 선정기준으로 삼았다”고 밝혔다.

①생성형 AI 보안
첫 번째, 생성형 AI 보안이다. 생성형 AI는 쉬운 접근성으로 생성형 AI를 활용하면 업무의 효율성을 높일 수 있어 유용하다. 하지만 챗GPT를 통해 내부 회의록을 작성하는 경우 회사 비밀정보가 유출될 수 있다. 더욱이 챗GPT가 학습을 하면 할수록 보안 이슈가 더욱 불거질 수 있다.

이와 관련 황연수 CISO는 “국가정보원과 국가보안기술연구소가 지난해 6월 챗GPT 등 생성형 AI 활용 보안 가이드라인을 발표했다”며 “가이드라인에서는 챗GPT에 개인정보, 민감정보, 비공개 정보 등을 입력하지 말 것을 당부하고 있다. 생성물에 대해 정확성, 윤리성, 정합성이 검증돼야 한다”고 말했다.

②CPO 지정 의무화
두 번째, CPO 지정 의무화다. 황연수 CISO는 “상급종합병원은 지난 3월 15일부터 CPO 지정이 의무 적용되고 있다”며 “이번 CPO 지정으로 의료기관의 보안이 한층 강화될 수 있을 것으로 기대하고 있다”고 밝혔다.

③개인정보보호법 위반 과징금 제도 변경
세 번째, 개인정보보호법 위반 과징금 제도 변경이다. 2023년 9월 15일 개인정보보호법이 전면 개정됐다. 의료기관에서 가장 관심있게 보는 부분이 과징금 제도다. 특히 과징금 상한액이 위반행위에 따라 전체 매출액의 3%가 적용되는 점이다.

이에 황연수 CISO는 “EU GDPR의 법률을 적용한 것으로 의료정보 유·노출 등은 의료기관에서 실제 발생할 수 있는 만큼, 의료기관에서도 가장 우려하고 있다”며 “보험 가입 등을 통해 대비하고, 사고 발생 가능성이 있는 수탁사 관리 강화를 통해 보안사고 위험을 낮춰야 한다”고 당부했다.

④의료기관 ISMS-P 인증
네 번째, 의료기관 ISMS-P 인증이다. 상급종합기관은 ISMS 인증이 의무화다. 하지만 개인정보를 많이 다루고 있는 의료기관의 ISMS-P 인증 취득은 전무하다.

황연수 CISO는 “국립암센터에서 임상연구 데이터 일부에 대해서만 ISMS-P를 취득했을 뿐 ISMS-P 인증취득이 전무하다”며 “의료기관에서 ISMS-P 인증을 고려하지 않고 있다. 하지만 갈수록 의료기관의 보안 강화가 요구되고 있는 추세인 만큼 ISMS-P 인증 취득도 향후에는 본격화될 것으로 기대한다”고 밝혔다.

⑤의료분야 공급망 공격
다섯 번째, 의료분야 공급망 공격이다. 황 CISO는 “공급망 공격은 악성코드가 숨겨진 상태에서 배포되는 새로운 공격 형태”라며 “검증되지 않은 오픈소스와 SW가 유입되며, 최근 공급망 공격이 증가하는 추세”라고 말했다. 의료분야 역시 공급망 보안 강화가 요구된다며 피해 발생 시 환자에게 직접적으로 피해가 갈 수 있어 만반의 대비가 필요하다고 강조했다.

⑥다중인증
여섯 번째, 다중인증이다. 전자기록 작성시 무결성이 확보돼야 하기 때문에 다중인증이 더욱 중요하다. 하지만 의료기관의 경우 서버에 보관하는 방식을 적용하고 있고, 의사의 아이디를 간호사와 공유하는 등 인증 보안이 미흡해 근본적인 개선이 필요한 상황이다.

이에 대해 황 CISO는 “의료기관도 보안 강화를 위해 생체정보를 활용한 파이도(FIDO) 등 새로운 인증체계 도입이 요구된다”고 말했다.

⑦업무망과 인터넷망 분리
일곱 번째, 업무망과 인터넷망 분리다. 망분리의 중요성을 강조한 황 CISO는 “의료기관 대부분 망분리를 적용하지 않고 있다”며, “의무대상자가 아니다 보니 적극적으로 추진하고 있지 않고 있는데, 올해 초 기준 망분리를 하고 있는 의료기관이 8곳에 불과하다”고 밝혔다.

황 CISO는 “망분리를 하지 않고 다른 분야에 보안 투자를 한다는 것은 모래위에 성을 쌓는 것과 같다”며 “망분리가 우선 적용돼야 한다. 뿐만 아니라 민감한 의료정보 보호를 위해 안전성 확보조치로 기술적·관리적·물리적 보안을 강화해야 한다”고 당부했다.

⑧원격의료 보안
여덟 번째, 원격의료 보안이다. 원격의료 서비스는 환자의 만족도 향상 측면에서 장점이 있다. 그러나 원격의료의 경우 보안 위협이 더욱 커질 수 있다. 황 CISO는 “전공의 사직사태로 원격의료 수요는 증가될 것으로 예상된다”면서도 “그러나 원격의료는 정보통신기술을 이용하기 때문에 개인정보보호 문제가 수반될 수밖에 없다. 의료정보가 쉽게 유·노출 될 수 있어 기술적·관리적·물리적 보호조치를 취해야 한다”고 강조했다.

⑨업무연속성과 회복탄력성
아홉 번째, 업무연속성과 회복탄력성이다. 2022년 10월 카카오 시스템 장애, 올해 정부 행정망 네트워크 장애 등 업무연속성과 회복탄력성은 사회 전분야의 재난 대비와 복구 측면에서 매우 중요하다. 이와 관련 황 CISO는 “의료환경에서는 회복 탄력성 강화와 업무 연속성이 더욱 중요시 되고 있다”고 말했다.

⑩Never Trust & Always Verify
마지막 열 번째는 Never Trust & Always Verify다. 이는 의료기관에서 모바일 솔루션 활용이 확산되고 클라우드 환경으로 변모되고 있기 때문이다. 뿐만 아니라 재택근무, 원격진료 등으로 인해 네트워크 경계가 모호해지면서 전통보안 방식으로는 한계가 있어 등장한 새로운 보안 모델이라고 할 수 있다.

황연수 CISO는 “민감한 의료정보의 안전한 보호는 의료기관의 새로운 도전과제”라며 “많은 의료기관이 가용성에는 무관심한 상황에서 제로트러스트가 해결책으로 떠오르고 있다. 의료기관에서 가용성은 매우 중요한 만큼 제로트러스트로 보안을 강화해야 한다”고 언급했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>