DB암호화 구축 시, ‘성능이슈’ 가장 고려...접근제어 사용하면 효과 2배
최근 문제가 되고 있는 랜섬웨어 대응 위해 직원 이메일 관리 강화
[보안뉴슥 김태형] 가톨릭중앙의료원(CMC)은 예수 그리스도가 병자들을 치유했던 모범을 따르고자 설립된 의료기관으로 가톨릭대학교 의과대학, 의학전문대학원과 간호대학 및 서울성모 병원을 비롯한 8개 부속병원으로 구성된 국내 최대 의료기관이다. 이 중 서울성모병원, 여의도성모병원, 의정부성모병원, 부천성모병원, 성바오로병원, 성빈센트 병원 6개 병원은 ‘One Source’ 전략에 따른 하나의 EMR 시스템인 ‘CMC nU’ 시스템을 사용하고 있어 의사들의 혼란을 최소화하고 병원을 찾는 고객들에게 효율적이고 최고의 진료서비스를 제공하고 있다.
.jpg)
이를 위해 가톨릭중앙의료원은 정보보호 및 환자 개인정보보호를 위해서도 다각적인 노력을 기울이고 있다. 특히, 올해 기존 정보운영팀에 포함된 정보보호를 분리해 정보보호팀을 별도 신설하고 통합 EMR 시스템 ‘CMC nU’ 시스템을 사용하고 있는 6개 병원의 전산 업무 및 정보보호 업무를 총괄 기획·관리하고 있다.
이에 대해 가톨릭중앙의료원 정보보호팀 신일근 담당자는 “2016년에는 점점 강해지는 정보보호관련 법 대응과 의료기관 개인정보보호 가이드라인 준수, 그리고 CMC 전체 정보보호 강화를 위해 기존 운영과 보호를 분리해 정보보호팀을 신설했다. 그리고 5개 병원에서도 정보운영팀을 정보보호팀으로 전환해 정보보호 분야를 강화했다”고 말했다.
현재 가톨릭중앙의료원 정보보호팀은 팀장을 포함해서 3명으로 구성되어 있고 전산 위탁 업체인 평화이즈의 정보보안팀과 같이 정보보호 업무를 수행하고 있다. 3명 중 1명은 정보보안 전문가를 신규 인력으로 채용해 전문성을 보다 강화할 예정이다.
신일근 담당자는 “가톨릭중앙의료원은 환자정보와 진료기록 등 주요 정보를 보유하고 있다. 이는 각각의 DB에 저장되어 있다. UI는 통합되어 있지만, 각 시스템은 업무별로 권한 및 접근통제를 적용하고 있다”면서 “예를 들면, 의사는 진료차트 등 진료 관련 정보만, 접수 관련 업무자는 접수와 관련된 DB에만 접근할 수 있도록 각 화면마다 권한이 설정되어 있고 DB의 마스킹 처리와 주기적 모니터링을 통한 정보접근 현황 등을 철저히 관리하고 있다”고 덧붙였다.
가톨릭중앙의료원에서는 2011년 시행된 개인정보보호법 대응 및 병원 고객정보 보호를 위해 1차(2011~2012), 2차(2013~2014)에 걸쳐 정보보호 구축 사업을 진행했고, DB 업그레이드 및 DB 암호화, DB 접근제어, 시스템 접근제어, 네트워크 보안 강화, 홈페이지 보안 강화, PC 보안, 영상데이터 암호화 등을 완료하고 현재까지 운영하고 있다.
특히, 중요 데이터 및 개인정보 DB보안을 강화하기 위해 오라클 TDE를 통해 암호화하고, DB 접근제어 및 시스템 접근제어를 통해 비인가자에 대한 접근을 원천적으로 차단하고 있다. 또한 업무에 따라 권한을 차등 부여해 내부 데이터를 안정적이고 효율적으로 관리하고자 노력하고 있다. 그리고 PC 보안을 통해 문서 DRM을 적용하고, 중요 개인정보 문서에 대해 자동으로 암호화해 내부 문서 보안도 강화하고 있다. 최근 이슈가 되고 있는 진료 관련 영상 이미지에도 암호화를 적용해 고객의 중요한 영상 정보를 안전하게 보관·관리하기 위해 만전을 기하고 있다.
무엇보다 최근 랜섬웨어 피해가 증가하고 있는 가운데 병원도 타깃이 되고 있다. 이에 대해 신일근 담당자는 “현재 랜섬웨어의 원천적인 피해 방지를 위한 추가 솔루션에 대한 신규 투자는 쉽지 않은 상황이다. 하지만 지속적으로 관련 기관과 연계하여 랜섬웨어 피해가 예상되는 메일에 대해 사전 차단 및 일부 랜섬웨어 배포 사이트의 접속 차단을 통해 피해를 최소화하도록 노력하고 있다”면서 “사용자들에게 지속적으로 감염 예방을 위한 가이드(PC상태 최신 업데이트, 주기적인 백업, 의심스러운 메일 확인 및 삭제, 공유폴더 사용 금지, 업무 외 인터넷 사용 금지, PC 시스템 보호 설정 등)에 대한 안내와 주기적인 교육을 적극적으로 진행하고 있다”고 강조했다.
가톨릭중앙의료원에서 DB암호화 구축시 가장 고려했던 부분은 애플리케이션 성능과 안정성, 그리고 효율적인 관리였다. 고객과 의료진에게 시스템 속도는 굉장히 민감하기 때문이다. 시스템 속도가 느리면 환자들의 대기 시간이 길어지고 정상적인 진료 서비스가 불가능하고 효율적인 관리도 중요하기 때문.
신일근 담당자는 “국내 DB암호화 솔루션 2개와 오라클 DB에서 제공하는 암호화 기능 TDE를 비교해 테스트를 했는데 이중에서 속도에 가장 영향이 없고 안정성도 뛰어나며 관리도 쉬운 것이 오라클이 제공하는 TDE였기 때문에 도입했다”면서 “이를 통해 주요 개인정보 데이터를 암호화하 안전하게 보호할 수 있게 되었고 컬럼 단위가 아닌 테이블스페이스 단위 암호화로 암호화가 필요한 테이블은 별도의 작업 없이, 테이블 생성 시 테이블스페이스만 지정하면 암호화되기 때문에 관리도 편리하다”고 강조했다.
▲ 신일근 가톨릭중앙의료원 정보보호팀 담당자
이어서 그는 “TDE가 데이터베이스에서 제공하는 자체 암호화 기능이지만, 안정성이 높고, 속도나 성능에 큰 이슈가 없다는 점이 장점이다. 무엇보다 다른 서드 파티 제품보다 관리가 쉬운 것도 장점”이라면서 “단지 오라클 TDE는 물리적 파일 암호화 형태이므로 사전에 DB계정을 알고 있는 개발자나 DBA는 인가된 사용자로 인식해 복호화된 데이터를 볼 수 있다. 이러한 부분을 보안하고 더 강력하고 효과적인 보안을 위해서는 DB 접근제어 솔루션을 통한 접근 통제가 필수적이라고 생각한다”고 설명했다.
가톨릭중앙의료은 작년에 자체적으로 2회 실시한 정보보호 실태조사를 통해서 CMC 정보보호 수준과 문제점을 도출했고, 그에 따라 CMC 정보보호 관리체계 강화를 위해 의료원 및 각 병원에 정보보호 전담조직을 신설하게 된 것이다.
앞으로 CMC 정보보호 수준 향상을 위해 올해에는 정보보호 관리체계 컨설팅을 수행할 예정이며, 하반기에는 CMC 통합 ISMS 인증 획득을 준비하고 있다. 이에 대해 신일근 담당자는 “ISMS와 같은 정보보호 체계 인증도 중요하지만, 병원의 업무 프로세스와 잘 융합되고 CMC에 최적화된 정보보호 체계를 구축하고 직원들의 정보보호 인식 제고를 통한 정보보호 생활화를 이루는 것이 주 목적”이라면서 “또한 IPS, VPN, ESM, NAC 등, 기존에 노후된 보안 시스템의 교체 및 업그레이드를 진행하고 있다. EMR 시스템 고도화(CMC nU 2.0)과 더불어 개발단계의 보안취약점 제거를 위한 시큐어코딩 진단 도구 도입도 진행하고 있다. 이를 통해 보다 체계화된 정보보호 정책을 정립하고 고객에게 신뢰도를 높이고 안전하게 이용할 수 있는 병원 서비스를 제공할 방침”이라고 덧붙였다.
기업의 정보보호는 사업을 보호하고 나와 동료의 ‘성과’를 지키고 잠재적인 ‘위험’을 줄이기 위한 것이라고 생각하는 신일근 담당자는 “기업이나 기관에서 정보보호의 생활화를 위해서는 직원들이 정보보호를 어려워하거나 귀찮은 것이라 생각하지 않고 나와 동료, 조직을 지키기 위한 업무에 꼭 필요한 요소라는 것을 잊지 않았으면 좋겠다”고 밝혔다.
[김태형 기자(boan@boannews.com)]
최근 문제가 되고 있는 랜섬웨어 대응 위해 직원 이메일 관리 강화
[보안뉴슥 김태형] 가톨릭중앙의료원(CMC)은 예수 그리스도가 병자들을 치유했던 모범을 따르고자 설립된 의료기관으로 가톨릭대학교 의과대학, 의학전문대학원과 간호대학 및 서울성모 병원을 비롯한 8개 부속병원으로 구성된 국내 최대 의료기관이다. 이 중 서울성모병원, 여의도성모병원, 의정부성모병원, 부천성모병원, 성바오로병원, 성빈센트 병원 6개 병원은 ‘One Source’ 전략에 따른 하나의 EMR 시스템인 ‘CMC nU’ 시스템을 사용하고 있어 의사들의 혼란을 최소화하고 병원을 찾는 고객들에게 효율적이고 최고의 진료서비스를 제공하고 있다.
이를 위해 가톨릭중앙의료원은 정보보호 및 환자 개인정보보호를 위해서도 다각적인 노력을 기울이고 있다. 특히, 올해 기존 정보운영팀에 포함된 정보보호를 분리해 정보보호팀을 별도 신설하고 통합 EMR 시스템 ‘CMC nU’ 시스템을 사용하고 있는 6개 병원의 전산 업무 및 정보보호 업무를 총괄 기획·관리하고 있다.
이에 대해 가톨릭중앙의료원 정보보호팀 신일근 담당자는 “2016년에는 점점 강해지는 정보보호관련 법 대응과 의료기관 개인정보보호 가이드라인 준수, 그리고 CMC 전체 정보보호 강화를 위해 기존 운영과 보호를 분리해 정보보호팀을 신설했다. 그리고 5개 병원에서도 정보운영팀을 정보보호팀으로 전환해 정보보호 분야를 강화했다”고 말했다.
현재 가톨릭중앙의료원 정보보호팀은 팀장을 포함해서 3명으로 구성되어 있고 전산 위탁 업체인 평화이즈의 정보보안팀과 같이 정보보호 업무를 수행하고 있다. 3명 중 1명은 정보보안 전문가를 신규 인력으로 채용해 전문성을 보다 강화할 예정이다.
신일근 담당자는 “가톨릭중앙의료원은 환자정보와 진료기록 등 주요 정보를 보유하고 있다. 이는 각각의 DB에 저장되어 있다. UI는 통합되어 있지만, 각 시스템은 업무별로 권한 및 접근통제를 적용하고 있다”면서 “예를 들면, 의사는 진료차트 등 진료 관련 정보만, 접수 관련 업무자는 접수와 관련된 DB에만 접근할 수 있도록 각 화면마다 권한이 설정되어 있고 DB의 마스킹 처리와 주기적 모니터링을 통한 정보접근 현황 등을 철저히 관리하고 있다”고 덧붙였다.
가톨릭중앙의료원에서는 2011년 시행된 개인정보보호법 대응 및 병원 고객정보 보호를 위해 1차(2011~2012), 2차(2013~2014)에 걸쳐 정보보호 구축 사업을 진행했고, DB 업그레이드 및 DB 암호화, DB 접근제어, 시스템 접근제어, 네트워크 보안 강화, 홈페이지 보안 강화, PC 보안, 영상데이터 암호화 등을 완료하고 현재까지 운영하고 있다.
특히, 중요 데이터 및 개인정보 DB보안을 강화하기 위해 오라클 TDE를 통해 암호화하고, DB 접근제어 및 시스템 접근제어를 통해 비인가자에 대한 접근을 원천적으로 차단하고 있다. 또한 업무에 따라 권한을 차등 부여해 내부 데이터를 안정적이고 효율적으로 관리하고자 노력하고 있다. 그리고 PC 보안을 통해 문서 DRM을 적용하고, 중요 개인정보 문서에 대해 자동으로 암호화해 내부 문서 보안도 강화하고 있다. 최근 이슈가 되고 있는 진료 관련 영상 이미지에도 암호화를 적용해 고객의 중요한 영상 정보를 안전하게 보관·관리하기 위해 만전을 기하고 있다.
무엇보다 최근 랜섬웨어 피해가 증가하고 있는 가운데 병원도 타깃이 되고 있다. 이에 대해 신일근 담당자는 “현재 랜섬웨어의 원천적인 피해 방지를 위한 추가 솔루션에 대한 신규 투자는 쉽지 않은 상황이다. 하지만 지속적으로 관련 기관과 연계하여 랜섬웨어 피해가 예상되는 메일에 대해 사전 차단 및 일부 랜섬웨어 배포 사이트의 접속 차단을 통해 피해를 최소화하도록 노력하고 있다”면서 “사용자들에게 지속적으로 감염 예방을 위한 가이드(PC상태 최신 업데이트, 주기적인 백업, 의심스러운 메일 확인 및 삭제, 공유폴더 사용 금지, 업무 외 인터넷 사용 금지, PC 시스템 보호 설정 등)에 대한 안내와 주기적인 교육을 적극적으로 진행하고 있다”고 강조했다.
가톨릭중앙의료원에서 DB암호화 구축시 가장 고려했던 부분은 애플리케이션 성능과 안정성, 그리고 효율적인 관리였다. 고객과 의료진에게 시스템 속도는 굉장히 민감하기 때문이다. 시스템 속도가 느리면 환자들의 대기 시간이 길어지고 정상적인 진료 서비스가 불가능하고 효율적인 관리도 중요하기 때문.
신일근 담당자는 “국내 DB암호화 솔루션 2개와 오라클 DB에서 제공하는 암호화 기능 TDE를 비교해 테스트를 했는데 이중에서 속도에 가장 영향이 없고 안정성도 뛰어나며 관리도 쉬운 것이 오라클이 제공하는 TDE였기 때문에 도입했다”면서 “이를 통해 주요 개인정보 데이터를 암호화하 안전하게 보호할 수 있게 되었고 컬럼 단위가 아닌 테이블스페이스 단위 암호화로 암호화가 필요한 테이블은 별도의 작업 없이, 테이블 생성 시 테이블스페이스만 지정하면 암호화되기 때문에 관리도 편리하다”고 강조했다.
▲ 신일근 가톨릭중앙의료원 정보보호팀 담당자
이어서 그는 “TDE가 데이터베이스에서 제공하는 자체 암호화 기능이지만, 안정성이 높고, 속도나 성능에 큰 이슈가 없다는 점이 장점이다. 무엇보다 다른 서드 파티 제품보다 관리가 쉬운 것도 장점”이라면서 “단지 오라클 TDE는 물리적 파일 암호화 형태이므로 사전에 DB계정을 알고 있는 개발자나 DBA는 인가된 사용자로 인식해 복호화된 데이터를 볼 수 있다. 이러한 부분을 보안하고 더 강력하고 효과적인 보안을 위해서는 DB 접근제어 솔루션을 통한 접근 통제가 필수적이라고 생각한다”고 설명했다.
가톨릭중앙의료은 작년에 자체적으로 2회 실시한 정보보호 실태조사를 통해서 CMC 정보보호 수준과 문제점을 도출했고, 그에 따라 CMC 정보보호 관리체계 강화를 위해 의료원 및 각 병원에 정보보호 전담조직을 신설하게 된 것이다.
앞으로 CMC 정보보호 수준 향상을 위해 올해에는 정보보호 관리체계 컨설팅을 수행할 예정이며, 하반기에는 CMC 통합 ISMS 인증 획득을 준비하고 있다. 이에 대해 신일근 담당자는 “ISMS와 같은 정보보호 체계 인증도 중요하지만, 병원의 업무 프로세스와 잘 융합되고 CMC에 최적화된 정보보호 체계를 구축하고 직원들의 정보보호 인식 제고를 통한 정보보호 생활화를 이루는 것이 주 목적”이라면서 “또한 IPS, VPN, ESM, NAC 등, 기존에 노후된 보안 시스템의 교체 및 업그레이드를 진행하고 있다. EMR 시스템 고도화(CMC nU 2.0)과 더불어 개발단계의 보안취약점 제거를 위한 시큐어코딩 진단 도구 도입도 진행하고 있다. 이를 통해 보다 체계화된 정보보호 정책을 정립하고 고객에게 신뢰도를 높이고 안전하게 이용할 수 있는 병원 서비스를 제공할 방침”이라고 덧붙였다.
기업의 정보보호는 사업을 보호하고 나와 동료의 ‘성과’를 지키고 잠재적인 ‘위험’을 줄이기 위한 것이라고 생각하는 신일근 담당자는 “기업이나 기관에서 정보보호의 생활화를 위해서는 직원들이 정보보호를 어려워하거나 귀찮은 것이라 생각하지 않고 나와 동료, 조직을 지키기 위한 업무에 꼭 필요한 요소라는 것을 잊지 않았으면 좋겠다”고 밝혔다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
