“금융권 수준의 보안시스템 구현”, 유비쿼터스 기반의 원격 정보공유 체계와 보안 시스템 자랑
2004년에는 의료기관에서도 1,000여건이 넘는 컴퓨터 바이러스 피해사례가 있었고, 실제 모 병원에서는 전산시스템이 마비되어 진료업무가 24시간 지연, 투약처방전을 수기로 작성하는 등 치명적인 보안사고가 잇달아 병원을 휩쓸고 지나갔다. 전자의무기록(EMR) 도입이 본격화되고 정보화가 가속화될수록 보안사고 위험 또한 증가하고 있는 것이 현실이며, 의료정보화에서도 보안의 중요성이 이슈로 부각되고 있다.
다행히도 서울대학교병원 등 10여 병원의 의사들이 나서 "의료정보윤리헌장선포식"을 갖고 의료정보의 윤리적 활용에 관심을 가지고 자율적으로 실천하기로 결의를 다짐했다. 그러나 컴퓨터 보안은 개인의 양심에 호소하여 잘 지키자고 외친다고 해서 지켜질 수 있는 상황이 이미 아니었다. 구체적인 대응방안이 필요했던 것이다.
정부는 "소 잃고 외양간 고친다"는 비난을 받기는 했으나, 1.25대란 이후 "정부 공공기관 정보보호 수준제고 사업"을 추진, 정보보호관리체계 인증제도 도입, 정보보호안전진단법 제정 등 컴퓨터 보안을 강화했고, 각급 정부기관들이 보안장비를 서둘러 도입하기 시작했다.
그러나 보건복지부는 의료기관 공인전자서명 적용지침, 건강정보보호 및 운영에 관한 법률 등 각종 보안지침 수립에 아직도 진전을 보이지 못하고 있는 것이 현실이다. 의료기관에서도 보안은 신 시스템 도입에 항상 뒷전으로 밀려왔던 것이 사실이다. 우리 산재의료관리원(이하 의료원)도 당시에는 인터넷 구간에 방화벽이 1대 밖에 없는 아주 취약한 실정이었다.
ISMS 인증을 목표
보안장비 및 솔루션 몇 가지를 도입 설치하는 것만으로는 "고객의 소중한 개인정보와 진료정보를 보호할 의무를 다 했다"고는 장담할 수 없었다. 또한, 시장조사결과에서도 보안장비와 솔루션들의 종류, 기능, 규모 등이 다양하고, 수십여 종이 난립해 있어 우리 실정에 맞는 적합한 솔루션을 찾기 위해서는 전문가의 도움이 절실히 필요했다.
때를 맞추어 2004년 중장기 정보화전략계획 수립 컨설팅을 앞두고 있었다. 특히 보안부문에 대해서도 전문업체의 컨설팅을 통해 모든 취약점을 들추어내고, 보완할 점들을 체계적으로 정리하고 있었다. 이에 따라 구체적인 보안시스템 도입계획을 수립할 필요성과 정보화전략계획에 반드시 보안대책이 포함되어야 한다고 판단했다.
그러나 정보화전략계획 수립도 그랬지만, 보안전략계획 수립은 벤치마킹을 할 만한 의료기관이 없었다. 고민 끝에 한국정보보호진흥원의 정보보호관리체계(ISMS) 인증을 목표로 삼자는 당찬 계획을 동료직원들에게 애기했다. 그러나 많은 직원들이 ISMS를 모두 준수하기에는, 운영이 너무 어렵고, 여유가 없다는 이유로 반대를 했다.
결국 ISMS에 근거하여 모든 취약점을 도출해 내되, 이행계획은 우리 실정에 맞추어 내실있게 계획하자고 동료 직원들을 설득했고, 컨설팅을 추진하게 되었다.
컨설팅 결과는 참담했다. ISMS 지침의 "관리적, 물리적, 기술적인 15개 통제영역 330개 항목"에 대해 취약점을 분석한 결과 정보보호수준이 100점 만점 중 45점으로 매우 취약한 것으로 나타났다. 더욱이 모의해킹 결과에서도 웹서버를 비롯하여 내부의 OCS, PACS 서버까지 25대의 서버들이 속절없이 해킹 테스트에 노출되고 말았다. 뿐만 아니라 시스템 운영체계에서도 많은 문제점들이 들어났다.
머리카락이 곤두섰다. 컨설팅 결과를 어떻게 보고해야하나 하는 걱정이 먼저 앞서고 걱정이 앞섰다. 그러나 예상했던 것 아닌가, 이런 결과가 오히려 만연되어 있는 보안 불감증을 일소하고 발전할 수 있는 계기가 되리라고 생각했다. 중요한 것은 각 서버들이 그동안 해킹 당하지 않았을까 하는 불안감이었다. 급하게 전 서버에 대해 해킹 흔적이 있는지 분석을 했다. 다행히도 그런 흔적은 없었다.
우선 해킹 경로로 활용된 인터넷을 차단하고, 가장 우선하여 외부 침입차단을 위한 대책을 수립하였다. 그 다음으로는 내부로부터의 해킹차단 및 자료유출차단 계획을 수립, 보안시스템 통합 및 실시간 모니터링 등 비상대응체계 확립 순서로 대책을 수립했다. 그러나 계획을 실행에 옮기기 위해서는 투자비용이 가장 큰 부담이었다. 따라서 우선순위에 따라 단계별로 이행하기로 하고 "보안시스템 구축 3개년 계획"을 수립하였다.
그리고, 보안관리체계를 강화하기 위해 전 시스템 및 네트워크를 위험등급별로 분류하고 운영방안 및 대책을 수립하여 매뉴얼화하고, 보안업무취급규정에서 정보화 관련분야를 별도 분리하여 "전산정보보호지침"으로 구체화하여 제도화하였다.
금융권 수준의 보안시스템
보안시스템 구축 3개년 계획을 이행하기 위한 첫 번째 관문은 어떤 장비와 솔루션을 도입하느냐 하는 것이었다. 시장조사결과 계획 수립 당시보다 더 많은 업체들이 새롭게 생기거나 없어지기도 했고, 내부적으로도 개방병원제도 도입, 산하병원간 협진 활성화, 응급실 활성화, 원격진료, 협력병원간 정보공유, 사이버건강관리 활성화 등 유비쿼터스 기반의 새로운 의료사업들이 도출되는 등 보안사업에 대한 부분적인 재검토 시행이 불가피했다. 따라서 매년 사업운영계획과 시장상황에 맞게 모든 보안장비 및 솔루션을 다시한번 집중적으로 재검토하여 도입하는 것으로 결정했다.
보안시스템 구축의 기본방향은 1단계 : 외부로부터의 침입을 차단하는 "네트워크보안", 2단계 : 내부의 중요 서버 및 PC 등의 자료유출을 방지하는 "내부보안", 3단계 : 선 구축한 보안장비 및 솔루션을 통합관리하고 관제할 수 있는 ESM(Enterprise Security Mana-gement)을 구축, 관리 합리화를 도모하고, 비상대응체계를 확립하는 것이다.
먼저 1단계 사업을 위한 구상에 들어갔다. 기본계획에서와 같이 네트워크 침입차단시스템(Firewall), 침입방지시스템(IPS) 등의 기본 보안장비 도입계획은 큰 문제가 되지는 않았지만, 시장이 형성된 상황에 따라 일부 규격(사양)을 조정 시행해야 했다.
문제는 "개방 병원사업과 병원간 협진 활성화를 위해 정보화에서 어떻게 지원할 것인가?"하는 것이었다. 몇몇 의료기관이 온라인협진정보시스템, 개방병원시스템 등과 같은 웹 프로그램을 인터넷을 통해 제공하고 있었으나, 방화벽 외의 특별한 보안대책은 보이지 않았다. 또한 모든 시스템을 웹으로 재개발해야 한다는 것도 큰 리스크가 아닐 수 없었다. 3개월이 흘렀지만 더 이상의 유사한 의료기관 사례를 찾을 수 없었다.
그때 등장한 것이 유플랫폼(www. uplatform.net)의 uTMS 솔루션이었다. 이 회사 관계자는 "SBC(Server Based Computing) 기반으로써, 중앙서버에 설치하는 어떤 소프트웨어든지 'Internet Explorer'를 통해 실행시킬 수 있다. 이 솔루션을 이용할 경우 직원들에게 비싼 PC를 주지 않더라도 더미 터미널만 있으면 된다."라고, 당시로서는 잘 이해되지 않는 설명을 했다. 그러나 Internet Explorer에서 실행시킬 수 있다면, Client/Server프로그램인 OCS나 PACS를 재개발하지 않고도 인터넷을 통해 서비스할 수 있다는 것이 아닌가!, 머릿속에 불빛이 번쩍이며 지나갔다.
그러나 그것만으로는 부족했다. 강력한 보안기능이 있어야 하는데!, uTMS 솔루션에는 개인계정관리, S/W중앙집중관리(모든 프로그램이 중앙서버에서만 실행되고, 사용자 PC에는 화면 내용만 전달된다)가 유일한 보안이었다. 그러나 중앙집중관리는 큰 장점이기도 했다. 개발업체가 소규모인 벤처기업에다 최초로 적용하는 것이라 신뢰가 가지 않았다. 하지만 성공만 한다면 유비쿼터스 기반의 원격정보공유체계와 보안을 겸비한 최고의 솔루션이 될 것이라고 판단, 다양한 보안기능들의 추가 커스터마이징을 요청했다.
금융거래와 같은 보안카드(공인인증서 포함) 기반의 접속인증, 자료다운방지, 프린터출력 방지, 화면캡쳐방지, 개인별 단위프로그램 실행제어, 보안관리자기능 등 다양한 보안기능들이 추가되면서 보안시스템으로서도 손색없는 면모를 갖추게 되었고, 지금은 SBC 기능보다 자료유출차단시스템으로 더 각광을 받으며, 많은 공공기관들이 필수 도입대상 보안솔루션으로 인식이 높아지고 있다.
원격의료정보시스템의 탄생
우리 의료원에서는 이 시스템을 '원격의료정보시스템'이라고 명명하고, '개방병원원격협진', 'OCS, PACS 등 재택응급진료지원', '전자결재, 그룹웨어 등 재택근무지원' 시스템들을 탑재하여 운영하고 있으며, 향후에는 이 시스템을 활용해서 '가정간호', '출장검진', '사업장 보건대행 및 환경측정' 등과 같이 대내,외 정보공유를 활용한 유비쿼터스 서비스를 확장해 나갈 계획이다.
그리고 늦었지만 이 자리를 빌어 최초적용이라는 불안감과 악조건에서도, 연구조직을 구성하여 벤처정신으로 적극 커스터마이징에 응해준 유플랫폼과 직원들게 감사드린다.
아울러 같은 선상에서 고민했던 또 하나, 암호화통신은 SSL VPN 장비를 SBC 서버 앞에 설치하여 해결하기로 결정했다. 유비쿼터스 환경으로 발전하기 위해서는 언제 어디서나 접속할 수 있는 유연성을 갖춘 SSL VPN이 최적이라고 판단했기 때문이다. 그리고 전산관리자들의 내부시스템 접근수단으로 IPSec VPN도 같이 도입하고, USB-Key를 제작 배포하기로 했다. SSL VPN은 Internet Explorer를 이용하여 사이트에 접속하기만 하면 Active-X를 통해 쉽게 접속이 가능하며, 내부자원의 정교하고 세밀한 액세스 정책을 가져 갈 수 있다는 장점이 있고, 대부분의 구축 사례에서 보듯이 IPSec VPN은 Site to Site, Resource Access 수단으로 사용되고 있다. 나중에 시스템을 설치한 엔지니어에게 들은 얘기지만 두가지 VPN 솔루션을 동시에 직렬로 배치하여 설치한 사례와 경험이 없어서 충돌을 피해 설치하는데 고생을 많이 한 것 같았다.
그 다음 고민거리는 사이버건강관리를 위한 보안대책 구축이었다. 이것 또한 의료기관에서 벤치마킹하기가 수월하지 않았다. 주목한 것은 은행의 인터넷 금융거래, "금융권 수준으로 보안체계를 구축하여 고객을 최우선으로 생각하는 보안을 하자"라는 생각을 그때 하게 되었다.
인터넷보안 솔루션들의 검토에 들어갔다. 그때에도 불행인지 다행인지 2005년 6월 3일 인터넷뱅킹이 해킹되어 거액이 인출되는 금융보안사고가 발생했고, 국회에서는 '집단소송제'를 도입하여 개인정보유출 기업의 책임을 강화하자는 강력한 개인정보보호법안이 상정되기에 이르렀다. "보안시스템 구축 사업은 왜 이렇게 어려운가?"하는 생각과 함께 "인터넷보안을 적절한 시기에 참 잘 검토했구나!, 빨리 금융보안사고의 문제점에 대처할 수 있는 방법을 찾아보자"라는 생각을 하게 되었고, 그 해결방법을 키보드보안에서 찾았다. 그렇게 해서 네티즌 PC통합보안(해킹방지, 바이러스/웜차단, 화면캡쳐방지 등)과 키보드보안을 연동한 고객정보보호시스템에 대한 구상도 마쳤다.
그 다음은 산하병원간 협진 활성화를 지원하기 위해 QoS장비를 도입, 네트워크 대역폭(Bandwidth) 관리를 효율화하고, 93.8%를 차지하는 인터넷 사용량을 제한하기로 했으며, 그밖에도 Firewall, IPSec VPN을 이중화하고, L4 Switch를 이용해 Loadbalance을 했다. 그리고 Application단의 Layer7 보안을 위한 IPS를 추가적으로 구성하였다.
이러한 여러 가지 솔루션이 장단점을 가지고 혼재되어 있었기 때문에 각종 보안장비 및 솔루션들을 네트워크상에 어떻게 배열하고 구성하느냐 하는 것도 고민을 많이 했던 문제였던 것 같다.
도입할 장비들은 제안서 검토와 사용중인 사이트 현장실사 등 2차에 걸쳐 선별한 후 벤치마크 테스트를 통해 최종 선정하여 설치하였다. 이렇게 1단계 사업을 2005년에 마무리하고, 다시 점검한 보안취약성분석에서는 정보보호수준이 75점으로 크게 향상되었다.
내부자 보안 및 자료보안이 더 중요
미국의 CSI/FBI의 2005년 컴퓨터범죄 및 보안실태조사에 의하면 보안사고의 77%, 국내 조사결과에서도 70%가 내부자에 의한 개인정보침해사고가 발생했다는 통계가 있고, 가까운 예로 모병원은 퇴직한 직원이 의료정보시스템에 침입, 입원환자기록 등 중요 전산자료를 삭제하는 사고가 발생, 3일동안 의료 마비가 되는 사건이 있었고, 모 정신요양원에서도 환자 약 500여명의 명의 도용, 위조 주민등록증 사용 등으로 100억원대의 신용카드 사기사건이 발생하는 등 내부보안이 사실상 더 중요하다는 것을 알 수 있다.
우리 의료원은 "내부자료보안"을 위해 2006년도에 정보보호지침을 개정, 전 직원들에게 보안서약서를 징구하고, 2차례에 걸쳐 직원보안교육을 실시했으며, 안정적인 보안관리와 시스템 운영을 위해 보안전문가양성교육을 실시, 2명의 전산직원이 국제보안전문가 자격(CISSP)을 취득하기도 했다.
또 한편에서는 국가정보원의 보안성검토와 자체적인 보안취약점 점검 등을 통해 2단계 보안시스템 구축 사업을 추진, 2007년 3월에 사업 완료를 앞두고 있다.
2단계 사업은, 1단계 추진 경험이 바탕이 되어 비교적 쉽게 추진할 수 있었고, 특이할 만한 보안시스템으로는 "OCS, PACS 등 34개 서버에 대한 서버보안 및 취약성진단 시스템 구축", "웹방화벽, 게시판 개인정보유출방지, 스팸메일차단 등 웹자료보안", "바이러스 및 웜차단, PC방화벽, PC원격관리, 유해트래픽차단 등의 PC통합보안" 등이다. 이때 가장 어려웠던 점은 전국에 흩어져 있는 서버 및 PC등에서 발생하는 보안로그관리와 보안정책관리를 위해 중앙전산센터에 'Global Management Center'를 어떻게 구축할 것인가 하는 것이었다.
금년 하반기에는 마지막 3단계 사업인 ESM(Enterprise Security Management)을 도입하여, 기 설치한 보안장비와 솔루션들을 통합해서 실시간 관제 및 신속한 비상대응체계를 확립하고자 준비 중이다.
보안시스템 구축 사업은 여기서 끝이 아니다. 전자의무기록(EMR)을 도입하기 위해서는 전자서명(PKI), 문서위변조방지, DB보안, 매체보안, 재해복구센터 등 더 어렵고도 책임감이 무거운 보안기술들을 도입 설치해야 할 것이다.
우리 의료원은 현재까지 도입한 14여종의 보안장비 및 솔루션 구축 경험을 바탕으로 신규사업을 할 때마다 보안대책을 같이 검토하고, 지속적으로 보안을 강화해 나갈 계획이다. 보안은 끝이 없는 '창과 방패'의 싸움 같다.
이영복│leebog@wamco.or.kr
산재의료관리원 전산정보팀장