본문 바로가기

nCipher HSM (Thales-HSM )

의료기관 개인정보보호! 기술적, 관리적 조치방안은?


올해 5월에 민간 의료기관 개인정보보호 및 정보보안 담당자 대상으로 개최되었던 <2014 의료기관 개인정보, 정보보안 컨퍼런스 MPIS 2014>에서 의료기관 개인정보 보호법에 대한 기술적, 관리적 조치 방안에 대한 발표가 있었습니다.


관련 내용을 요약하자면,


의료기관 정보보안 컨퍼런스의 주요 내용은 2014년 8월 7일부터 시행되는 주민번호 수집 법정주의가 적용되기 때문에 모든 개인정보 관련 업무에서는 주민번호 처리가 금지되고, 기존에 보유하고 있던 주민번호도 2년 이내에 파기를 해야한다는 내용이였습니다. 또한, 이를 어길 경우에는 과징금 5억원 이하 및 주요 임원들이 징계를 받는 결과를 가져올 수 있습니다.





이런 컴플라이언스 관련 내용을 숙지하는 것도 중요하지만 기술적인 조치도 매우 중요하다고 강조되었습니다. 병원정보시스템, 전자결재세스템 등 DBMS, 첨부문서에 포함된 개인정보 암호화 및 삭제 조치 등도 반드시 필요하며 홈페이지를 통한 전송시에 SSL 등의 암호화 조치, 개인정보에 대한 철저한 암호화도 중요합니다.


기술적 조치 부분에서의 가장 중요한 부분 중 하나인 접근권한 관리도 최소한의 범위로 업무담당자별로 차등하여 부여해야 하며, 개인정보취급자 변경시에는 지체없이 개인정보처리 시스템의 접근권한을 변경 또는 말소하여야 합니다. 이러한 접근권한 관리도 철저하게 진행됨과 동시에, 개인정보에 대한 암호화도 엄격하게 이루어져야 합니다.



개인정보 보호법 개정으로 인해 의료기관에서도 주민번호, 여권번호, 운전면허번호, 외국인등록번호 등의 고유식별번호 및 비밀번호, 의료기록 등의 암호화 여부를 주기적으로 확인하고 별도의 하드웨어 암호화 모듈(HSM)을 통해 강략하게 암호화되고 철저하게 관리되어야 합니다.


해외의 사례를 보자면 최근 미국 CHS에서 운영하는 병원에서 450만명이라는 엄청난 수의 환자들의 개인정보가 유출된 사건이 있었습니다. 이러한 개인정보 유출사고로 인해서 미국 FBI와 DHS 기관은 의료 분야 기관들에게 더 많은 위협 정보를 공유하기 위한 조치를 취할 예정이라고 합니다.



강력한 암호화를 통해서 환자들의 개인정보가 암호화되어 있었다면 개인정보 유출이 되더라도 절대 암호화된 개인정보를 해독(복호화)할 수 없기 때문에 유출한 정보들은 무용지물이 될 것입니다. 현재 존재하는 가장 강력하고 안전한 기술적 조치는 DB암호화이며, 높은 성능을 유지하면서 안전한 키 관리, 강력한 암호화를 수행하려면 HSM을 통해 암호화 하는 것이 절대적으로 안전합니다.


보안장비, 특히 암호화 모듈의 경우 FIPS 인증을 받은 신뢰성 있는 제품을 선택해야합니다. 보안 솔루션의 경우는 한번 도입되면 바꾸기가 쉽지 않기 때문입니다. 만약, 교체를 하게 된다면, 더 많은 비용과 인력 소요가 들 것입니다.



<Thales HSM nShield 제품군 FIPS 140-2 인증서>



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아