‘클린데스크 & 클린스크린’ 캠페인 통한 보안 마인드 확산
가톨릭중앙의료원 정보전략팀 백락준 대리는 2011년 병원의 보안 사업 계획 및 목표에 대해 이 같이 말했다. 지금까지는 누군가 침투해 가져가는 것을 막는 '보안'에 초점을 뒀다면, 이제부터는 내 것을 잠그고 사람들의 마인드를 변화시키는 '보호'에 더 무게를 둔다는 방침이다. 특히, 무의식적인 습관이나 행동을 통한 정보 유출 사고를 예방할 수 있도록 가톨릭중앙의료원 산하 병원들을 대상으로 '클린데스크& 클린스크린' 보안캠페인을 적극 추진해 나갈 예정이다.
내부 보안 지침이기도 한 '클린데스크& 클린스크린'은 ▲의사나 간호사가 환자의 진료기록이 담긴 종이를 프린트해 책상 위에 방치해 두거나 쓰레기통에 그냥 버리는 일이 없게 하고 ▲PC를 이용하고 난 다음이나 10분 이상 자리를 비울 때 항상 신경 써서 끄도록 함으로써 PC나 모바일기기의 화면을 통해 정보가 노출되는 것을 최대한 막는데 목적을 두고 있다.
백락준 대리는 "보안 강화의 관건은 지속적인 보안 인식 제고에 있다. 보안이라는 것 자체가 못하게 규제하는 것이다 보니 사람들이 어려워하고 접근하기를 싫어한다"며 "보안 정책과 지침을 내재화 할 수 있도록 지속적인 교육과 캠페인을 통해 평소에 사람들이 무의식적으로 놓칠 수 있는 부분들을 하나씩 바로잡아 나갈 계획"이라고 밝혔다.
컨설팅 통해 신규 보안계획 수립 예정
평화IS IDC는 2008년 10월 종합의료정보시스템(nU: neuro-Ubiquitous)을 오픈한 이후부터 가톨릭중앙의료원 산하 5개 병원의 주전산기를 통합 운영/ 관리하고 있으며 평화IS는 정보보호 기획, 운영 등 많은 부분에 관여하고 있다.
가톨릭중앙의료원은 nU시스템을 도입하면서 체계적인 보안을 위해 방화벽, IPS, ESM 등을 도입했고 2008년에는 국제 정보보호 표준인증인 ISO27001과 KISA 정보보호관리체계인증(ISMS)을 동시에 획득했다. 이를 통해 보안 및 네트워크 운영에 대한 검증을 받았고 당시 인증 컨설팅을 수행하면서 내부 보안지침도 수립했다. 현재는 nU시스템에 걸 맞는 보안 수준을 유지해나가고 있다는 게 병원 측의 설명이다.
가톨릭중앙의료원은 최근 산하병원들에 대한 기술적 보안조치로 접근통제(사용자단 활동 통제), ESM(보안로그관리 고도화), 개인정보보호 관련 애플리케이션단 주민번호 암호화, 정보이용에 대한 사용자 권한관리, 메뉴권한(캡쳐, 다운로드, 프린터 기능 등) 관리에 주력해 온 것으로 알려진다. 또, 원내 모바일 사용에 대한 요구가 많아짐에 따라, 지난해 무선네트워크 인프라를 공용망과 내부망으로 분리하고 무선 통신 및 데이터 암호화 등의 무선 보안을 적용했다.
평화IS 장형진 과장은 "지난해까지만 하더라도 모바일 기기에 대한 취약점과 위협이 뭐가 있는지를 몰라서 모바일 기기 이용을 허가해줄 수 없었다. 무선 네트워크망 분리, 무선 보안 등 모바일 서비스를 위한 인프라를 갖췄기 때문에 2월 1일부터는 환자들 대상의 모바일 진료예약 등 모바일 서비스를 확대할 수 있을 것"이라고 말했다.
한편, 가톨릭중앙의료원은 올해 직원들을 대상으로 보안 마인드를 확산하는 것 외에도 위협관리시스템을 도입하는 한편, 보안컨설팅을 통해 앞으로의 보안 계획을 새로 수립해 단계적인 투자를 해나갈 계획을 세우고 있다.
관련기사
김정은 기자
jekim92@itdaily.kr