의료정보 해킹 증가에 따른 효과적인 보안대책

일반적으로 의료정보에는 환자의 진료정보는 물론, 주민번호, 은행계정, 신용카드 정보 등 거의 모든 개인정보를 포함하고 있어, 해커의 입장에서는 일반정보 보다 훨씬 가치가 있으며, 공격 대상이 되기도 합니다. 보안업체인Trustwave에 따르면, 다크웹에서 은행계정 및 신용정보가 레코드당 5.40달러인데 비해, 의료정보는 레코드당 250달러에 거래되고 있다고 밝혔습니다.

 

2020 Verizon 보고서에 의하면, 의료시스템에 대한 피싱 및 소셜 엔지니어링 공격은 지속적으로 증가하고 있는 추세이며, 의료정보 침해사고는 피싱 공격과 크리덴셜 정보 탈취를 위한 악성코드 감염으로 2019년 대비 두배나 증가한 것으로 나타났습니다.  

 - 데이터 침해사고는 2016년 대비 2019년에 3배 증가

 - 2020년, 의료정보 침해사고는 71% 증가, 이중 43%는 피싱 및 악성코드 감염에 기인

 - 컴퓨터 해킹 중 70%는 외부자에 의한 소행, 55%는 범죄조직에 의한 소행

 - 밝혀진 침해사고 중 86%는 금전적인 목적

 - 약 90%는 취약한 패스워드 또는 훔친 크리덴셜 정보를 이용한 무작위 대입공격(Brute-force attack)

 

해커는 금전적인 이득을 취하기 위해 보안에 취약한 부분을 공략하여 성공할 때까지 끊임없이 공격을 시도할 것입니다. 의료정보를 보호하기 위한 기업의 보안대책에 대해 알아보겠습니다.

 

균형 있는 침해사고 예방 및 대응 시스템 구축
조직은 언제든지 침해사고를 당할 수 있으며, 이때 무엇을 준비해야 할 것인지에 대한 대책이 필요합니다. 침해사고는 실시간으로 발생하게 되며, 초기에 이를 탐지하고 적절하게 대응하지 못할 경우, 30%의 추가 대응비용이 발생합니다. 따라서, 침해사고 분석, 탐지 및 대응, 사후관리 기능이 균형 있게 다루어 지고 있는지 검토가 필요가 있습니다.    

 - 의료분야의 침해사고 탐지와 대응은 전체적으로 향상되었으나, 수개월 동안 파악되지 않은 침해사고가 25% 이상 (Verizon 2020 Report)

 

보안 컴플라이언스 준수 이상의 보안강화
의료보안을 위한 컴플라이언스에는 HIPAA (Health Insurance Portability and Accountability Act), HITRUST (Health Information Trust)  등이 있습니다. 고객들은 의료정보를 다루는 기관이 정확하게 보안 컴플라이언스를 준수하는지에 따라, 해당 기관에 대한 신뢰성을 판단하려 할 것입니다. 하지만, 컴플라언스는 최소의 보안 요구사항을 제시하는 것으로, 각 기관의 운영환경에 적합한 보안대책을 강구하고, 지속적인 보안역량(인력, 기술, 재정)을 키워야 합니다.

 

사이버 침해사고 대응 모의 훈련을 통한 보안인식 제고
보안인식이 결여된 직원들로 인해, 침해사고가 발생하기도 합니다. 최근에 발생하고 있는 피싱공격은 아주 간단한 보안인식 문제로 인해 발생하고 있습니다. COVID-19 보조금 지원 등과 같은 피싱메일은 아주 매력적인 아이템 입니다. 이러한 직원들을 위해, 피싱메일 모의훈련과 같은 침해사고 대응 훈련을 통해 직원들의 보안인식을 일깨워 줄 필요가 있습니다.

 

원격근무로 업무환경이 전환되고, 직원들 또한 개인정보는 물론 환자정보를 다루게 됨에 따라, 직원들의 재택근무환경에 대한 보안과 직원들의 보안인식에 대한 비중이 커지고 있습니다. 업무환경 변화에 따른, 조직의 변화된 운영환경을 정확히 진단하고, 적절한 보안대책을 강구할 필요가 있습니다.

 

※ 원문: 3 Ways to Flatten the Health Data Hacking Curve