피넛에이아이

Business

병원

"환자의 신뢰를 지키는 최선의 방법, 완벽한 사이버 보안으로 시작합니다."

병원의 사이버 보안은 환자의 안전과 신뢰를 보호하고
법적 규제를 준수하며, 병원 운영의 지속성을 보장하기 위함입니다.

병원은 환자의 개인 정보와 의료 데이터를 다루는 민감한 환경으로,
개인의 프라이버시 침해와 사이버 공격에 의해 환자의 생명에 직접적인 위협을 줄 수 있어 주요 타깃이 되기 쉽습니다.

병원 보안은 환자 신뢰와 데이터 보호, 법적 책임 회피를 위해 필수적이며,
보안 솔루션의 도입과 관련 규제 준수는 의료기관 운영의 기본 요소로 자리 잡고 있습니다.
병원 관련 법적 규정

관련 법령
- 개인정보보호법
  
  병원은 환자의 개인정보를 수집, 이용, 제공, 파기 등 처리하는 모든 단계에서 법적 보호조치를 취해야 함.
  
  병원은 개인정보 처리자로서 개인정보 보호법 제29조에 따라 안전조치 의무를 부담.
  
  안전조치 의무
  
  개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하여야 한다.
- 정보통신망법
  
  병원은 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 정보통신서비스 제공자로 간주되는 경우에 적용될 수 있음.
  
  병원이 환자 데이터를 온라인으로 처리하거나 외부와 연계되는 정보통신 시스템을 사용할 때, 개인정보 보호법과 정보통신망법에 따라 보안조치를 취해야 함.
- 의료법
  
  병원은 의료법 제38조의 2에 따라, 전자의무 기록의 관리 및 보존 시 안정성과 신뢰성을 확보할 의무를 부담하며, 보건복지부령으로 정하는 기준을 준수해야 함
  
  제38조의2
  (수술실 내 폐쇄회로 텔레비젼의 설치/운영)
  
  제 1항에 따라 폐쇄회로 텔레비젼이 설치된 의료 기관의 장은 제2항에 따라 촬영한 영상정보가 분실/도난/유출/변조 또는 훼손되지 아니하도록 보건복지부 령으로 정하는 바에 따라 내부 관리계획의 수립, 저장 장치와 네트워크의 분리, 접속기록 보관 및 관련 시설의 출입자 관리 방안 마련 등 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하여야 한다.
ISMS-P 인증

병원과 같은 개인정보 처리자는 일정 기준에 따라
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받아야 합니다.

ISMS-P는 정보통신망법과 개인정보 보호법에 따른 인증제도로,
개인정보를 보호하고 정보보호 관리체계를 강화하는 것을 목표로 합니다.
ISMS-P 인증 기준
- 1. 관리체계 수립 및 운영
- 2. 보호대책 요구사항
- 3. 개인정보 처리 단계별 요구사항
개인정보보호

의료 데이터에는 주민등록번호, 질병 기록 등 민감한 정보가 포함되며, 유출되면 환자의 사생활 침해와 금융 피해로 이어질 수 있음.
이에 개인정보보호법과 의료법을 준수하고 안전한 암호화와 같은 기술적 조치를 필수적으로 시행해야 합니다.

사이버 공격의 증가

병원은 해커의 주요 타깃으로, 시스템 강화와 보안 솔루션 도입이 요구됨. 정부는 상급 병원에 정보보호 관리체계(ISMS) 인증을 의무화하고 있고,
중소, 일반 병원은 자율점검 체크리스트 등 사이버 보안 강화를 지속적으로 요청하고 있습니다.

IP카메라 보안 강화

의료 데이터에는 주민등록번호, 질병 기록 등 민감한 정보가 포함되며 병원은 보안인증 IP카메라 사용을 의무화하고 있으며, 이는 IP카메라를 통한 영상 유출 및 해킹 방지를 위한 조치로, 병원 내 영상 정보의 안전한 관리와 사생활 보호를 목적으로 합니다. 특히, 성형외과/피부과/산부인과 등 신체의 일부 또는 전체가 촬영되는 병원의 경우 IoT 보안이 꼭 필요합니다. 유출되면 환자의 사생활 침해와 금융 피해로 이어질 수 있음. 이에 개인정보보호법과 의료법을 준수하고 안전한 암호화와 같은 기술적 조치를 필수적으로 시행해야 합니다.
병원 자율점검 체크리스트
- 3.2.4 개인정보처리시스템(전자차트, 청구 S/W 등)에 대하여 불법적인 접근 및 침해사고를 방지하기 위한 접근 통제 시스템을 설치/운영하고 있는가?
- 3.2.5 외부에서 정보통신망을 통한 개인정보처리시스템 접속 시 안전한 접속수단 또는 인증수단을 제공하고 있는가?
- 3.2.7 홈페이지의 개인정보 노출 방지를 위한 보안 조치를 실시하고 있는가?
- 3.4.2 접속기록의 위변조 및 도난, 분실되지 않도록 접속 기록을 안전하게 보관하고 있는가?
- 3.5.1 개인정보처리시스템이 설치된 업무용 PC에 보안 프로그램을 지속적으로 관리하고 있는가?
- 2.4.1 업무 위탁 시 개인정보 처리 관련 필수사항 등을 계약서(문서)에 포함하였는가?
- 2.4.2 수탁업체에 대한 관리 감독을 실시하고 있는가?
- 2.4.3 위탁에 관한 사실을 홈페이지 또는 사보, 접수실, 대기실 등에 공개하고 있는가?
- 3.2.1 개인정보처리시스템(전자차트, 청구S/W 등)에 대한 접근 권한을 최소한의 범위로 업무담당자에 따라(1인 1계정) 차등 부여하였는가?
- 3.2.2 개인정보처리시스템(전자차트, 청구S/W 등) 접근 권한의 부여·변경·말소 내역 등을 최소 3년간 보관하고 있는가?
IoT / IIoT (Modon-I)
- CCTV/NVR/DVR/KIOSK, Digital Signage, PoS 지원
- 윈도우, 리눅스(각종 CPU 아키텍처 및 OS 지원)
- 서버 없이 독립 설치 실행 가능
- 악성 또는 이상 프로세스 실시간 탐지 및 차단
- 실시간 디렉토리 모니터링으로 악성 파일 다운로드 차단
- 기기 성능 저하 없이 실시간 작동
- 외부에서 시스템 접근 실시간 모니터링
- 기기 운영상 필요한 시스템 명령어 외 차단
- 시스템 관리자 계정 정보 포함 사용자 계정 수정/추가 차단
의료법 23조
개인정보보호법 71, 74, 24조
(최대 5년이하 징역, 7천만원 이하 벌금)
네트워크 이상탐지 (Modon-N)
- 이상행동 탐지 및 실시간 대응 : 비정상적인 네트워크 트래픽 또는 공격 패턴을 실시간으로 분석하여 탐지
- 산업 네트워크 프로토콜 지원 : 40개 이상의 산업용 네트워크 프로토콜 지원
- 기존 네트워크와의 호환성 : 현재 운영 중인 시스템과 네트워크에 영향을 주지 않고 통합 가능
- 네트워크 트래픽 기록 관리 : 과거 네트워크 트래픽을 저장 및 분석하여 추후 보안 사고를 조사하거나 예방, 정책 설계에 활용
- 알림 및 경고 시스템
- 데이터 시각화 : Elastic Search와 같은 플랫폼과의 통합을 통해 네트워크 트래픽 및 보안 상태를 시각적으로 표현.
개인정보보호법 24, 51, 71, 74조
(최대 5년이하 징역, 7천만원 이하 벌금)
산업용 OT (Modon-O)
- PLC/HMI/센서 등 산업용 시스템 이상탐지
- 업무망에서 제어망까지 취약점 진단 및 모의해킹
- OT/SCADA 필드 장비들(DCS, PLC, HMI, ECDIS, AIS, 위성장비 등)의 취약점 분석(1-Day, 0-Day)
- 산업용 네트워크 프로토콜 취약점 분석(커스텀 프로토콜, OPC-UA, S7-CommPlus, Melsec 등)
- 무선(Wi-fi, GPS, Analog RF, LF, HF, NFC 등) 신호 취약점 테스트
- 망분리를 포함한 네트워크 아키텍처 분석
- 물리적 해킹 (도어락, CCTV, 울타리, 센서, RFID, 보안 카드 등)
정보통신망법 제 5조
개인정보보호법 제 29조
표준 개인정보보호지침 제 47조
의료법 제 38조 2항
서울시 영상정보처리기 운영에 관한 안전조례 제 4조
(최대 5년이하 징역, 5천만원 이하 벌금)
UTM
- IoT와 네트워크 이상탐지 솔루션
- 심층패킷 검사
- 커스텀 룰셋 추가 방화벽/IDS/IPS 탑재
- 기기 자체 프로세스 보안 커스텀 펌웨어 탑재
- 10G 지원
- 기본 VPN 외 OpenVPN지원
- 컨텐츠, 국가, 도메인 및 광고 필터링
- 센서형 네트워크 이상탐지(24시간 365일 자동화)
- 데이터 유출 및 각종 이상 트래픽 자동 검출 및 실시간 알람 (텔레그램, 이메일 등)
- 특정 의료기기 및 특정 트래픽 대상 커스터마이징 가능
개인정보보호법 24, 51, 71, 74조
(최대 5년이하 징역, 7천만원 이하 벌금)