피넛에이아이

Business

병원/의료기기

병원 보안은 환자 신뢰와 데이터 보호, 법적 책임 회피를 위해 필수적이며,
보안 솔루션의 도입과 관련 규제 준수는 의료기관 운영의 기본 요소로 자리 잡고 있습니다.
개인정보보호

의료 데이터에는 주민등록번호, 질병 기록 등 민감한 정보가 포함되며, 유출되면 환자의 사생활 침해와 금융 피해로 이어질 수 있음.
이에 개인정보보호법과 의료법을 준수하고 안전한 암호화와 같은 기술적 조치를 필수적으로 시행해야 합니다.

사이버 공격의 증가

병원은 해커의 주요 타깃으로, 시스템 강화와 보안 솔루션 도입이 요구됨. 정부는 상급 병원에 정보보호 관리체계(ISMS) 인증을 의무화하고 있고,
중소, 일반 병원은 자율점검 체크리스트 등 사이버 보안 강화를 지속적으로 요청하고 있습니다.

IP카메라 보안 강화

의료 데이터에는 주민등록번호, 질병 기록 등 민감한 정보가 포함되며 병원은 보안인증 IP카메라 사용을 의무화하고 있으며, 이는 IP카메라를 통한 영상 유출 및 해킹 방지를 위한 조치로, 병원 내 영상 정보의 안전한 관리와 사생활 보호를 목적으로 합니다. 특히, 성형외과/피부과/산부인과 등 신체의 일부 또는 전체가 촬영되는 병원의 경우 IoT 보안이 꼭 필요합니다. 유출되면 환자의 사생활 침해와 금융 피해로 이어질 수 있음. 이에 개인정보보호법과 의료법을 준수하고 안전한 암호화와 같은 기술적 조치를 필수적으로 시행해야 합니다.
병원 관련 법적 규정

관련 법령
- 개인정보보호법
  
  병원은 환자의 개인정보를 수집, 이용, 제공, 파기 등 처리하는 모든 단계에서 법적 보호조치를 취해야 함.
  
  병원은 개인정보 처리자로서 개인정보 보호법 제29조에 따라 안전조치 의무를 부담.
  
  안전조치 의무
  
  개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하여야 한다.
- 정보통신망법
  
  병원은 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 정보통신서비스 제공자로 간주되는 경우에 적용될 수 있음.
  
  병원이 환자 데이터를 온라인으로 처리하거나 외부와 연계되는 정보통신 시스템을 사용할 때, 개인정보 보호법과 정보통신망법에 따라 보안조치를 취해야 함.
- 의료법
  
  병원은 의료법 제38조의 2에 따라, 전자의무 기록의 관리 및 보존 시 안정성과 신뢰성을 확보할 의무를 부담하며, 보건복지부령으로 정하는 기준을 준수해야 함
  
  제38조의2
  (수술실 내 폐쇄회로 텔레비젼의 설치/운영)
  
  제 1항에 따라 폐쇄회로 텔레비젼이 설치된 의료 기관의 장은 제2항에 따라 촬영한 영상정보가 분실/도난/유출/변조 또는 훼손되지 아니하도록 보건복지부 령으로 정하는 바에 따라 내부 관리계획의 수립, 저장 장치와 네트워크의 분리, 접속기록 보관 및 관련 시설의 출입자 관리 방안 마련 등 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하여야 한다.
ISMS-P 인증

병원과 같은 개인정보 처리자는 일정 기준에 따라
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받아야 합니다.

ISMS-P는 정보통신망법과 개인정보 보호법에 따른 인증제도로,
개인정보를 보호하고 정보보호 관리체계를 강화하는 것을 목표로 합니다.
ISMS-P 인증 기준
- 1. 관리체계 수립 및 운영
- 2. 보호대책 요구사항
- 3. 개인정보 처리 단계별 요구사항
병원 자율점검 체크리스트
- 3.2.4 개인정보처리시스템(전자차트, 청구 S/W 등)에 대하여 불법적인 접근 및 침해사고를 방지하기 위한 접근 통제 시스템을 설치/운영하고 있는가?
- 3.2.5 외부에서 정보통신망을 통한 개인정보처리시스템 접속 시 안전한 접속수단 또는 인증수단을 제공하고 있는가?
- 3.2.7 홈페이지의 개인정보 노출 방지를 위한 보안 조치를 실시하고 있는가?
- 3.4.2 접속기록의 위변조 및 도난, 분실되지 않도록 접속 기록을 안전하게 보관하고 있는가?
- 3.5.1 개인정보처리시스템이 설치된 업무용 PC에 보안 프로그램을 지속적으로 관리하고 있는가?
- 2.4.1 업무 위탁 시 개인정보 처리 관련 필수사항 등을 계약서(문서)에 포함하였는가?
- 2.4.2 수탁업체에 대한 관리 감독을 실시하고 있는가?
- 2.4.3 위탁에 관한 사실을 홈페이지 또는 사보, 접수실, 대기실 등에 공개하고 있는가?
- 3.2.1 개인정보처리시스템(전자차트, 청구S/W 등)에 대한 접근 권한을 최소한의 범위로 업무담당자에 따라(1인 1계정) 차등 부여하였는가?
- 3.2.2 개인정보처리시스템(전자차트, 청구S/W 등) 접근 권한의 부여·변경·말소 내역 등을 최소 3년간 보관하고 있는가?

사이버보안 안정성 확인을 통한 의료기기 허가심사 강화
의료기기 인허가 시 검토사항
- 적용대상
  
  통신이 가능한 모든 의료기기
- 제출자료
  
  사이버보안 요구사항 체크리스트, 보안 기능을 실제 검증한 자료
- 검토사항
  
  국제 기준에 따른 사이버보안 요구사항을 만족하는 지 확인
※소프트웨어를 포함하는 의료기기 중 유,무선 통신을 사용하거나 통신 경로가 존재하는 의료기기는 사이버보안 요구사항 준수 필요
의료기기 사이버보안 요구사항 체크리스트
- 보안 통신
  - 네트워크 접속 방식 고려
  - 입력에 대한 유효성 확인 설계
  - 비인가 접근/변경/반복 방지
- 데이터 보호
  - 저장 데이터, 전송 데이터 보호
  - 통신 프로토콜, 필드, 암호화 키 등
  - 자료 손상 방지
- 기기 무결성
  - 저장 데이터, 전송 데이터 보호
  - 통신 프로토콜, 필드, 암호화 키 등
  - 자료 손상 방지
- 소프트웨어 유지보수
  - 주기적 업데이트
  - 외부 통제에 대한 대응
- 사용자 인증
  - 사용자 접근통제 고려
- 물리적 접근
  - 비인가된 자 접근 방지
- 신뢰성, 가용성
  - 사이버보안 공격 탐지, 저항, 대응, 복구하는 설계
"제조 단계부터 안전을 설계합니다. 의료기기 보안 컨설팅의 새로운 기준을 제시합니다."

의료기기 제조사의 소프트웨어도 사이버보안을 필요로 합니다.
의료기기 인허가를 받기 위한 각종 심사항목에 대해 정확한 컨설팅을 진행하고, 의료기기 보안 인증 획득에 도움을 드립니다.

인증유형	내용	비고
라이트	단순 해킹공격에 대응할 수 있는 필수 보안조치 수준 (개인정보를 수집·저장·전송 등 취급 시 라이트 신청 불가)	센서 등 펌웨어 기반의 소형 IoT 기기에 적합
(라이트+)	라이트 등급의 인증기준 및 추가 인증기준 포함	센서 등 펌웨어 기반의 소형 IoT 기기에 적합
베이직	중요정보의 불법적인 접근을 차단하고 노출방지에 대응할 수 있는 일반적인 보안조치 수준	저사양 OS를 탑재한 중소형 IoT 기기에 적합
(베이직+)	베이직 등급의 인증기준 및 추가 인증기준 포함	저사양 OS를 탑재한 중소형 IoT 기기에 적합
스탠다드	고도의 해킹공격에 대응할 수 있고 국제적인 요구사항을 포함한 종합적 보안조치 수준	중대형 스마트가전 제품 등 IoT 기기에 적합
(스탠다드+)	스탠다드 등급의 인증기준 및 추가 인증기준 포함	중대형 스마트가전 제품 등 IoT 기기에 적합

정보통신망연결기기등은 요구되는 보안요구사항 수준에 따라 3가지의 인증유형(라이트, 베이직, 스탠다드)으로 구분되며,
인증 신청인은 기기가 취급하는 정보의 중요도, 노출·변조에 대한 민감도, 서비스 적시성 등을 종합적으로 고려하여 적합한 인증유형을 선택하도록 권고

IoT 보안인증제도란

IoT 제품이 정보통신망연결기기 등 정보보호인증기준에 적합함을 시험하여 인증서를 발급하는 제도 (정보통신망법 제 48조의 6)
식약처-KISA 업무 협약 / KISA 시험 자료 인정

의료기기 사이버보안 안정성 확보를 위한 지원 협약 체결

의료기기 인허가시 IoT 보안인증서를 제출하면

별도의 추가 자료없이도 사이버보안 안정성 인정
등급별 의료기기 예시
- Lite : 전자혈압계, 체온기, 적외선 조사기, 기본형 심박수 측정기 등
- Basic : 스마트 혈당 측정기, 스마트 네뷸라이저, 초음파기기 등
- Standard Bold : 심박 조율기(페이스메이커), 자율주행 휠체어, 스마트 의료 모니터링 시스템, 연속 혈당 모니터링 시스템(CGM), 스마트 인공호흡기, CT, MRI 등
- 인증 심사 대상 기기와 소프트웨어에 따라 기간 및 투입 인력 산정
- PLC를 사용한 의료기기 지원
- 각 의료기기 제조업체의 특성에 맞춘 보안 솔루션 제공
- 잠재적 사이버 위협을 사전에 분석 및 방지
- 최신 보안 기술과 솔루션 적용
- 저성능 펌웨어 기반 의료기기 지원
- 소프트웨어 및 하드웨어 동시 테스트
- 규제 준수 : FDA, MDR 등 글로벌 규제에 뷰합하는 국제 표준 기반 테스트 지원
IoT / IIoT (Modon-I)
- CCTV/NVR/DVR/KIOSK, Digital Signage, PoS 지원
- 윈도우, 리눅스(각종 CPU 아키텍처 및 OS 지원)
- 서버 없이 독립 설치 실행 가능
- 악성 또는 이상 프로세스 실시간 탐지 및 차단
- 실시간 디렉토리 모니터링으로 악성 파일 다운로드 차단
- 기기 성능 저하 없이 실시간 작동
- 외부에서 시스템 접근 실시간 모니터링
- 기기 운영상 필요한 시스템 명령어 외 차단
- 시스템 관리자 계정 정보 포함 사용자 계정 수정/추가 차단
의료법 23조
개인정보보호법 71, 74, 24조
(최대 5년이하 징역, 7천만원 이하 벌금)