스마트의료보안포럼, ‘2016 스마트의료 정보보호 컨퍼런스’ 개최
‘CPS와 스마트 의료보안’ 주제로 의료정보보안 동향·이슈 논의
[보안뉴스 김태형] 사단법인 스마트의료보안포럼(의장 한근희, 고려대 산학교수)은 14일 한국과학기술회관에서 ‘2016 스마트의료 정보보호 컨퍼런스’를 개최했다. 15일까지 ‘CPS(Cyber Physical System)와 스마트 의료보안’을 주제로 개최되는 이번 컨퍼런스는 고려대학교 고품질융합소프트웨어연구센터가 주최하고 스마트의료보안포럼 및 정보보안국제협력센터가 주관하는 행사로 국내·외 스마트의료 분야의 정보보호 관련 최신 이슈와 동향에 대한 주제발표와 토론의 장으로 마련됐다. 이날 미래부 송정수 정보보호정책관은 ‘미래 융합보안 정책’을 주제로 한 강연에서 정부의 융합보안정책 추진사항과 발전전략을 소개했다.
▲ 14일 서울 역삼동 과학기술회관에서 개최된 ‘2016 스마트의료 정보보호 컨퍼런스’에서 ‘의료개인정보 비식별화&익명화’를 주제로 서울아산병원 신수용 교수가 발표하고 있다.
이어 KISA 개인정보정책단 최경환 박사는 ‘의료분야 개인정보보호’를 주제로 우리나라 의료정보보호와 관련한 법·제도 내용을 소개하고 바람직한 개선방향과 필요성에 대해 의견을 밝혔다.
또한 ‘의료개인정보 비식별화&익명화’를 주제로 서울아산병원 신수용 교수가 발표를 진행했다. 신수용 교수는 개인정보보호법과 생명윤리 및 안전에 관한 법률에 대해 소개하면서 “개인정보 이용 제한과 관련해서 개인정보보호법에서는 제18조 2항에서 ‘통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우’에 예외로 인정하고 있으며, 생명윤리 및 안전에 관한 법에서는 제18조, 제38조, 제43조에서 ‘연구를 위해서 반드시 개별 동의를 받거나 또는 익명화 처리를 하여 기관위원회의 심의를 받아야 한다’고 명시하고 있다”고 그 차이점에 대해 설명했다.
즉, 생명윤리 및 안전에 관한 법률에서 개인의료정보는 진료, 예약 등과 관련해서는 개인의 동의가 필요 없으나, 이를 연구나 홍보에 이용하기 위해서는 동의를 얻어야 한다는 것이다.
이어서 신 교수는 “암호화와 익명화는 다른 개념이다. 익명화는 정보가 공개된다는 것을 전제하고 누구인지 알 수 없도록 하는 것이고 암호화는 공개하기 전에 정보를 식별할 수 없도록 하는 것”이라면서 “의료정보보호와 관련해 국내에서 가장 큰 문제는 개인의료정보에 대해서 명확한 정의가 없다는 점이다. 미국의 경우 ‘HIPAA(Health Insurance Portability Accountability Act)’에서 명확하게 정의하고 있다”고 말했다.
또한, 그는 “서울아산병원에서는 2014년부터 익명화 시스템 ‘ABLE’을 사용해 직접적인 개인식별정보는 제거하거나 마스킹처리하고 있다. 가장 중요한 것은 환자 등록번호를 제거하는 방법인데, 이를 위해서 환자에 대한 지속적인 F/U(Follow Up) 스터디가 요구되는 경우가 많아 ‘일방향 함수(One-way Function)’는 사용하지 않으며 연구자에게는 시리얼 넘버로 재가공해서 최대한 노출되지 않도록 제공한다”며 “간접적인 개인식별정보 중 조합을 통해 식별이 가능한 정보는 5명 이하의 정보에 대해서 조회 및 결과 제공이 불가능하도록 하고 있다”고 덧붙였다.
그 다음 강연으로 연세대 세브란스병원 한태화 박사가 ‘국제표준 기반의 의료보안 국가별 기술 동향’에 대해 소개했으며, 파인아이티 양성욱 이사는 ‘의료기관 랜섬웨어 대응 방안’을 주제로 최근 기승을 부리고 있는 랜섬웨어 동향과 대응 방안에 대해 소개했다.
양성욱 이사는 “랜섬웨어에 감염되지 않도록 하는 것이 가장 좋지만, 만약 감염됐을 때는 신속히 컴퓨터를 끄고 랜선을 뽑은 상태에서 전문가에게 의뢰하는 것이 좋다. 랜섬웨어는 웹과 이메일을 통해 감염되기 때문에 주의해야 한다”면서 “앞으로는 PC와 모바일뿐만 아니라 병원의 웹을 공격해서 병원의 DB를 암호화하고 돈을 요구할 수도 있어 의료기관에서도 각별한 주의가 필요하다. 랜섬웨어 대응을 위한 최후 저지선은 백업”이라고 강조했다.
[김태형 기자(boan@boannews.com)]
‘CPS와 스마트 의료보안’ 주제로 의료정보보안 동향·이슈 논의
[보안뉴스 김태형] 사단법인 스마트의료보안포럼(의장 한근희, 고려대 산학교수)은 14일 한국과학기술회관에서 ‘2016 스마트의료 정보보호 컨퍼런스’를 개최했다. 15일까지 ‘CPS(Cyber Physical System)와 스마트 의료보안’을 주제로 개최되는 이번 컨퍼런스는 고려대학교 고품질융합소프트웨어연구센터가 주최하고 스마트의료보안포럼 및 정보보안국제협력센터가 주관하는 행사로 국내·외 스마트의료 분야의 정보보호 관련 최신 이슈와 동향에 대한 주제발표와 토론의 장으로 마련됐다. 이날 미래부 송정수 정보보호정책관은 ‘미래 융합보안 정책’을 주제로 한 강연에서 정부의 융합보안정책 추진사항과 발전전략을 소개했다.
▲ 14일 서울 역삼동 과학기술회관에서 개최된 ‘2016 스마트의료 정보보호 컨퍼런스’에서 ‘의료개인정보 비식별화&익명화’를 주제로 서울아산병원 신수용 교수가 발표하고 있다.
이어 KISA 개인정보정책단 최경환 박사는 ‘의료분야 개인정보보호’를 주제로 우리나라 의료정보보호와 관련한 법·제도 내용을 소개하고 바람직한 개선방향과 필요성에 대해 의견을 밝혔다.
또한 ‘의료개인정보 비식별화&익명화’를 주제로 서울아산병원 신수용 교수가 발표를 진행했다. 신수용 교수는 개인정보보호법과 생명윤리 및 안전에 관한 법률에 대해 소개하면서 “개인정보 이용 제한과 관련해서 개인정보보호법에서는 제18조 2항에서 ‘통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우’에 예외로 인정하고 있으며, 생명윤리 및 안전에 관한 법에서는 제18조, 제38조, 제43조에서 ‘연구를 위해서 반드시 개별 동의를 받거나 또는 익명화 처리를 하여 기관위원회의 심의를 받아야 한다’고 명시하고 있다”고 그 차이점에 대해 설명했다.
즉, 생명윤리 및 안전에 관한 법률에서 개인의료정보는 진료, 예약 등과 관련해서는 개인의 동의가 필요 없으나, 이를 연구나 홍보에 이용하기 위해서는 동의를 얻어야 한다는 것이다.
이어서 신 교수는 “암호화와 익명화는 다른 개념이다. 익명화는 정보가 공개된다는 것을 전제하고 누구인지 알 수 없도록 하는 것이고 암호화는 공개하기 전에 정보를 식별할 수 없도록 하는 것”이라면서 “의료정보보호와 관련해 국내에서 가장 큰 문제는 개인의료정보에 대해서 명확한 정의가 없다는 점이다. 미국의 경우 ‘HIPAA(Health Insurance Portability Accountability Act)’에서 명확하게 정의하고 있다”고 말했다.
또한, 그는 “서울아산병원에서는 2014년부터 익명화 시스템 ‘ABLE’을 사용해 직접적인 개인식별정보는 제거하거나 마스킹처리하고 있다. 가장 중요한 것은 환자 등록번호를 제거하는 방법인데, 이를 위해서 환자에 대한 지속적인 F/U(Follow Up) 스터디가 요구되는 경우가 많아 ‘일방향 함수(One-way Function)’는 사용하지 않으며 연구자에게는 시리얼 넘버로 재가공해서 최대한 노출되지 않도록 제공한다”며 “간접적인 개인식별정보 중 조합을 통해 식별이 가능한 정보는 5명 이하의 정보에 대해서 조회 및 결과 제공이 불가능하도록 하고 있다”고 덧붙였다.
그 다음 강연으로 연세대 세브란스병원 한태화 박사가 ‘국제표준 기반의 의료보안 국가별 기술 동향’에 대해 소개했으며, 파인아이티 양성욱 이사는 ‘의료기관 랜섬웨어 대응 방안’을 주제로 최근 기승을 부리고 있는 랜섬웨어 동향과 대응 방안에 대해 소개했다.
양성욱 이사는 “랜섬웨어에 감염되지 않도록 하는 것이 가장 좋지만, 만약 감염됐을 때는 신속히 컴퓨터를 끄고 랜선을 뽑은 상태에서 전문가에게 의뢰하는 것이 좋다. 랜섬웨어는 웹과 이메일을 통해 감염되기 때문에 주의해야 한다”면서 “앞으로는 PC와 모바일뿐만 아니라 병원의 웹을 공격해서 병원의 DB를 암호화하고 돈을 요구할 수도 있어 의료기관에서도 각별한 주의가 필요하다. 랜섬웨어 대응을 위한 최후 저지선은 백업”이라고 강조했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
