의료정보 시스템과 서비스 위한 서버·네트워크·시설·홈페이지 등 포함시켜야
[보안뉴스 김태형] 최근 사이버 공격자들은 돈벌이가 되는 금융기관을 대상으로 스미싱, 피싱 등을 고도의 해킹 기술을 이용해 거액을 자신의 계좌로 이체하는 공격을 시도하고 있다. 하지만 금융기관들은 이러한 사이버공격의 예방과 방어에 총력을 펼치고 있어 공격자들은 보다 쉽게 해킹할 수 있는 의료기관을 타깃으로 랜섬웨어 등의 공격을 시도하고 있다.
▲ 정보보호 관리체계 인증 대상
이에 정부는 지난 6월 2일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 시행령 및 시행규칙 개정안에 따라 정보보호 관리체계(ISMS) 인증제도의 인증 의무대상을 의료와 교육분야로 확대했다. 이에 연간 매출액 또는 세입이 1500억 이상의 상급종합병원과 재학생수 1만명 이상인 학교는 ISMS 인증을 받아야 한다.
이번에 ISMS 인증 의무 대상에 포함된 병원은 △가톨릭대학교서울성모병원 △가톨릭대학교인천성모병원 △건국대학교병원 △경북대학교병원 △경상대학교병원 △경희대의과대학부속병원 △계명대학교동산병원 △고려대의과대학부속구로병원 △고려대의과대학부속병원 △고려대의과대학부속안산병원 △고신대학교복음병원 △단국대의과대학부속병원 △대구가톨릭대학교병원 △동아대학교병원 △부산대학교병원 △분당서울대학교병원 △삼성생명공익재단삼성서울병원 △삼성의료재단강북삼성병원 △서울대학교병원 △서울아산병원 △아주대학교병원 △양산부산대학교병원 △연세대학교원주의과대학원주기독병원 △연세대학교의과대학강남세브란스병원 △연세대학교의과대학세브란스병원 △영남대학교병원 △울산대학교병원 △원광대학교부속병원 △의료법인길의료재단길병원 △이화여대부속목동병원 △인제대학교부속부산백병원 △인하대학교의과대학부속병원 △전남대학교병원 △전북대학교병원 △중앙대학교병원 △충남대학교병원 △학교법인동은학원순천향대학교부속부천병원 △학교법인동은학원순천향대학교부속천안병원 △한림대학교성심병원 △한양대학교병원 △화순전남대학교병원 △조선대학교병원 △충북대학교병원 등 총 43개 상급병원이다.
ISMS 인증은 정보보호관리에 대한 표준적 모델 및 기준을 제시해 기업의 정보보호 관리체계 수립·운영을 촉진하고 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증 심사 기준에 적합한지를 인증기관이 인증하는 제도이다.
▲ ISMS 인증 체계 및 심사유형
법적 근거는 ‘정보통신망법 제47조(정보보호관리체계의 인증)’로, 미래창조과학부 장관은 정보통신망의 안정성·신뢰성 확보를 위해 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립·운영하고 있는 자에 대해 제3항에 따른 기준에 적합한지에 관해 인증을 할 수 있도록 했다.
또한, 기업의 부담 완화를 위해서 ISMS에 준하는 조치(ISO/IEC 국제표준에 따른 ISO27001 인증, 개인정보보호 관리체계 인증 등)를 취한 사업자의 경우, 인증 의무 완화를 통해 중복 인증 취득으로 인한 사업자의 과도한 부담을 경감하도록 했다(정통망법 제47조 3항).
▲ 의료기관 정보보호 관리체계 인증 범위 개요
KISA 보안인증지원단 보안수준인증팀 이상무 수석연구원은 “특히 의료기관의 의무 인증 범위는 의료정보 시스템과 서비스 제공을 위해 필요한 서버, 네트워크, 시설 등을 반드시 포함시켜야 한다”면서 “병원의 전자의무기록(EMR), 처방전달시스템(OCS), u-헬스케어, 병원 홈페이지 등이 인증범위에 포함된다”고 설명했다.
▲ ISMS 구축 프로세스
이에 대해 한국정보보호심사원협회 공병철 회장은 “조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호 정책을 수립하고, 이는 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족해야 한다”며 “조직에 미치는 영향을 고려해 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별해 문서화해야 안다”고 설명했다.
또한 그는 “정보보호관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다. 최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원, 즉 예산과 인력을 확보해야 한다”고 강조했다.
아울러 관리적·기술적·물리적·법적 분야 등 조직의 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립해야 한다.
공병철 회장은 “이에 따라 정보보호 전 영역에 대한 위험식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용가능한 위험 수준을 설정해 관리해야 한다”면서 “위험을 수용 가능한 수준으로 감소시키기 위해 정보보호 대책을 선정하고 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행 계획을 수립해 경영진의 승인을 받아야 한다”고 덧붙였다.
이러한 정보보호 대책을 효과적으로 구현하고, 구현된 정보보호 대책을 관련 담당자들에게 공유하고 교육해야 하는 것도 중요하다. 또한, 조직이 지속적으로 준수해야 할 법적요구 사항을 파악해 최신성을 유지하고, 이에 대한 주기적인 검토 및 감사 작업이 이루어져야 한다.
공병철 회장은 “기업의 정보보호 수준을 높이기 위해서 무엇보다 중요한 것은 보안은 제품이 아니라 프로세스라는 것을 알아야 한다는 점”이라며, “보안에서 사람이 가장 중요하다는 것을 인식하고 적절한 조치를 취해야 한다”고 강조했다.
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 최근 사이버 공격자들은 돈벌이가 되는 금융기관을 대상으로 스미싱, 피싱 등을 고도의 해킹 기술을 이용해 거액을 자신의 계좌로 이체하는 공격을 시도하고 있다. 하지만 금융기관들은 이러한 사이버공격의 예방과 방어에 총력을 펼치고 있어 공격자들은 보다 쉽게 해킹할 수 있는 의료기관을 타깃으로 랜섬웨어 등의 공격을 시도하고 있다.
▲ 정보보호 관리체계 인증 대상
이에 정부는 지난 6월 2일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 시행령 및 시행규칙 개정안에 따라 정보보호 관리체계(ISMS) 인증제도의 인증 의무대상을 의료와 교육분야로 확대했다. 이에 연간 매출액 또는 세입이 1500억 이상의 상급종합병원과 재학생수 1만명 이상인 학교는 ISMS 인증을 받아야 한다.
이번에 ISMS 인증 의무 대상에 포함된 병원은 △가톨릭대학교서울성모병원 △가톨릭대학교인천성모병원 △건국대학교병원 △경북대학교병원 △경상대학교병원 △경희대의과대학부속병원 △계명대학교동산병원 △고려대의과대학부속구로병원 △고려대의과대학부속병원 △고려대의과대학부속안산병원 △고신대학교복음병원 △단국대의과대학부속병원 △대구가톨릭대학교병원 △동아대학교병원 △부산대학교병원 △분당서울대학교병원 △삼성생명공익재단삼성서울병원 △삼성의료재단강북삼성병원 △서울대학교병원 △서울아산병원 △아주대학교병원 △양산부산대학교병원 △연세대학교원주의과대학원주기독병원 △연세대학교의과대학강남세브란스병원 △연세대학교의과대학세브란스병원 △영남대학교병원 △울산대학교병원 △원광대학교부속병원 △의료법인길의료재단길병원 △이화여대부속목동병원 △인제대학교부속부산백병원 △인하대학교의과대학부속병원 △전남대학교병원 △전북대학교병원 △중앙대학교병원 △충남대학교병원 △학교법인동은학원순천향대학교부속부천병원 △학교법인동은학원순천향대학교부속천안병원 △한림대학교성심병원 △한양대학교병원 △화순전남대학교병원 △조선대학교병원 △충북대학교병원 등 총 43개 상급병원이다.
ISMS 인증은 정보보호관리에 대한 표준적 모델 및 기준을 제시해 기업의 정보보호 관리체계 수립·운영을 촉진하고 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증 심사 기준에 적합한지를 인증기관이 인증하는 제도이다.
▲ ISMS 인증 체계 및 심사유형
법적 근거는 ‘정보통신망법 제47조(정보보호관리체계의 인증)’로, 미래창조과학부 장관은 정보통신망의 안정성·신뢰성 확보를 위해 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립·운영하고 있는 자에 대해 제3항에 따른 기준에 적합한지에 관해 인증을 할 수 있도록 했다.
또한, 기업의 부담 완화를 위해서 ISMS에 준하는 조치(ISO/IEC 국제표준에 따른 ISO27001 인증, 개인정보보호 관리체계 인증 등)를 취한 사업자의 경우, 인증 의무 완화를 통해 중복 인증 취득으로 인한 사업자의 과도한 부담을 경감하도록 했다(정통망법 제47조 3항).
▲ 의료기관 정보보호 관리체계 인증 범위 개요
KISA 보안인증지원단 보안수준인증팀 이상무 수석연구원은 “특히 의료기관의 의무 인증 범위는 의료정보 시스템과 서비스 제공을 위해 필요한 서버, 네트워크, 시설 등을 반드시 포함시켜야 한다”면서 “병원의 전자의무기록(EMR), 처방전달시스템(OCS), u-헬스케어, 병원 홈페이지 등이 인증범위에 포함된다”고 설명했다.
▲ ISMS 구축 프로세스
이에 대해 한국정보보호심사원협회 공병철 회장은 “조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호 정책을 수립하고, 이는 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족해야 한다”며 “조직에 미치는 영향을 고려해 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별해 문서화해야 안다”고 설명했다.
또한 그는 “정보보호관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다. 최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원, 즉 예산과 인력을 확보해야 한다”고 강조했다.
아울러 관리적·기술적·물리적·법적 분야 등 조직의 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립해야 한다.
공병철 회장은 “이에 따라 정보보호 전 영역에 대한 위험식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용가능한 위험 수준을 설정해 관리해야 한다”면서 “위험을 수용 가능한 수준으로 감소시키기 위해 정보보호 대책을 선정하고 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행 계획을 수립해 경영진의 승인을 받아야 한다”고 덧붙였다.
이러한 정보보호 대책을 효과적으로 구현하고, 구현된 정보보호 대책을 관련 담당자들에게 공유하고 교육해야 하는 것도 중요하다. 또한, 조직이 지속적으로 준수해야 할 법적요구 사항을 파악해 최신성을 유지하고, 이에 대한 주기적인 검토 및 감사 작업이 이루어져야 한다.
공병철 회장은 “기업의 정보보호 수준을 높이기 위해서 무엇보다 중요한 것은 보안은 제품이 아니라 프로세스라는 것을 알아야 한다는 점”이라며, “보안에서 사람이 가장 중요하다는 것을 인식하고 적절한 조치를 취해야 한다”고 강조했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
