세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
미국에서는 지금 의료 산업 서드파티 체질 개선 중
  |  입력 : 2017-01-09 16:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
HIPAA와 FISMA 강조되면서 발등에 불 떨어진 서드파티들
벌금 내기 두려워하기보다는 장기적인 투자로 봐야


[보안뉴스 문가용 기자] 건강 보험 양도 및 책임에 관한 법(이하 HIPAA, Health Insurance Portability and Accountability Act)과 연방정보보안관리법(이하 FISMA, Federal Information Security Management Act)이 요 몇 년 사이 개정되거나 새롭게 시행되었는데, 그 핵심은 다름 아닌 외주업체들, 이른바 서드파티라고 한다. 따라서 건강 및 의료 산업에 발을 걸치고 있는 서드파티들은 전부 비상에 걸렸다. 왜? 무슨 일일까?


1. HIPAA의 옴니버스 룰(Omnibus Rule)
HIPAA의 옴니버스 룰은 의료 산업 전체에 커다란 변화를 가져왔고, 서드파티들 사이에 걸린 비상의 핵심이다. 경제적 및 임상적 건전성을 위한 의료정보기술에 관한 법률(이하 HITECH, Health Information Technology for Economic and Clinical Health Act)의 일부로서 2009년부터 제정되어 왔지만 시행되기 시작한 건 2013년 9월부터다. 옴니버스 룰은 공시 및 환자 권리에 관한 다양한 문제들을 다루고 있기도 하지만 정보보안의 관점에서 가장 중요한 건 역시나 사업상 제휴회사들에 관한 내용이라고 볼 수 있다. 여기서 말하는 사업상 제휴회사들이란 “의료 서비스 제공업체 및 보험업체를 대신해 의료 정보를 생성하거나, 입력받거나, 유지하거나, 전송하거나 보호하는 모든 관계자”를 뜻한다.

2013년 9월 이전, 즉 옴니버스 룰이 시행되기 이전, 의료업계의 기업들은 최소한의 정보보호 표준만을 지키면 되었다. 병원이나 의료원, 보험업체들이 HIPAA의 사생활과 보안에 관한 규칙(Privacy and Security Rules)을 철저히 지켜야 했던 것과는 차원이 달랐다. 옴니버스 룰이 시행되고 나서부터 의료업계 기업들은 건강 정보를 보호하기 위해 반드시 행정적인 보호 장치와 기술적인 장치, 물리적인 안전장치를 마련해야만 했다. 하나라도 빠지면 법률 위반의 위중한 책임을 물어야만 했다.

병원이나 보험업체 외 파트너사들에게 일어난 좀 더 구체적인 변화들을 꼽으면 다음과 같다.
- 공식 리스크 평가의 실행
- 내부 및 외부의 리스크를 완화시킬 수 있는 장치 구축
- 비밀 의료 정보의 보호 및 관리를 위한 정책의 명문화
- 전 직원들을 대상으로 한 정보보안 훈련 실시
- 비밀 의료 정보가 저장된 곳으로의 물리적인 접근 제한
- 워크스테이션과 전자장비의 보호
- 비승인 접근을 방지하기 위한 기술 대책 마련
- 전자장비를 통한 비밀 의료 정보로의 접근을 모두 기록 및 저장
- 전자 매개체를 통해 전달된 비밀 의료 정보의 보안 대책 마련

이런 보안 조치들을 제대로 취하지 않았을 때, 서드파티들은 고객의 신뢰를 잃는 대가를 돌려받았다. 하지만 이는 뭔가 막연하게 나타나는 현상이었고, 게다가 장기적인 피해였다. 그러나 이제는 보다 직접적이고 단기적인 ‘벌금’까지도 부담하게 되었다. 이미 5십만 달러가 넘는 벌금형을 받은 기업들이 적지 않다고 하니, 미국 연방 정부의 의료업계 정보보안 개혁 의지가 굳건해 보인다.

2. FISMA
FISMA가 제정된 건 2002년의 일로, 정부의 행정 시스템을 강화하고자 하는 것이 주 목적이었다. 연방 정부의 모든 기관 및 조직, 국가 재정을 사용하는 모든 프로젝트 진행 조직 및 관계자, 정부 기금 수혜자, 정부와 계약을 맺고 사업을 진행하는 하청업자들은 예외 없이 FISMA를 준수해야만 했다. 여기에 해당하는 모든 조직들은 FISMA에서 말하는 가장 기초적인 보안 조치 사항을 관리, 운영, 기술의 측면에서 도입해야만 했다. NIST 800-53을 기초로 한 것이기도 했다.

그러므로 FISMA가 서드파티들에게 완전히 생소한 소식은 아니다. 하지만 FISMA보다는 사업관계자들 간의 계약 내용이나 산업 내 통용되고 있는 보안 관련 표준이 더 우선시 되었다. 그러나 이제 사정이 달라졌다. 정부가 FISMA의 준수를 강조하면서, FISMA를 지키지 못할 경우 정부를 상대로 사업을 이어갈 수 없게 되었기 때문이다. 이제 정부 사업에 입찰을 하려면 데이터를 얼마나 잘 보호하고 있는지를 증명하는 자료도 첨부해야 한다. 정부 사업 입찰 공문에는 FISMA 컴플라이언스에 대한 증빙 자료를 첨부하라고 명시되어 있는데, 연 단위, 분기 단위, 월 단위로 나눠서 상세히 작성해야 한다.

그러므로 이제 미국에서 정부와 사업을 하려면 ‘지속적으로 정보를 보호해야 한다’는 게 기본이다. 정부 조직들은 거의 전부 감시 팀을 운영하고 있으며, 이 감사 방법 또한 매우 꼼꼼하고 철저하게 변하고 있는 중이다. 문서 상의 현란함이나 얕은 속임수로 빠져나가기 힘들다고 하는 게 중론이다.

현재 업체들이 FISMA 준수를 증명하려고 내야 하는 문서들은 다음과 같다.
- 연간 보안 평가서 : 통제 및 제어 환경의 공식 평가 결과
- 분기 행동 계획서 : 위 평가서를 통해 발견된 문제 해결을 위한 구체적인 계획
- 연간 시스템 보안 계획서 : 모든 제어장치 및 방안에 대한 문서화
- 연간 보안 항목화 : 각 시스템의 충격 수위
- 연간 비상사태 계획서 : 중복적인 가용성 시나리오의 문서화
- 연간 보안 정책 관련 인력 훈련 기록
- 하도급자들과의 연간 계약서

3. 새로운 현실
정책이 새롭게 생기고, 그 정책을 올바로 준수하기 위해서는 별도의 인력이 마련되어야 한다. 이는 미국 내 모든 서드파티들에게 닥친 현실이다. 하지만 이를 다만 법을 지키기 위한 임시방편으로 봐서는 안 된다. 위의 세부 항목들을 보면 알겠지만 HIPAA의 옴니버스 룰이나 FISMA가 강조하는 건 장기적인 보안 체질 개선이다. 그러므로 서드파티들도 이러한 곳에 들어가는 각종 자원을 장기적인 투자라고 봐야 할 것이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#건강   #의료   #헬스   #보험   #정보보호   #법   #법안   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)