보라색 육각형 패턴
FAQ

의료 분야에서 보안 침해를 방지하는 방법

의료는 사이버 공격 및 기타 보안 침해의 주요 표적이며 의료 보안 침해는 지속적으로 증가하는 추세입니다. Becker's Hospital Review에 따르면 대규모 데이터 침해 사고 3건 중 1건은 병원이나 의료 시스템과 관련이 있습니다. 이러한 침해는 환자의 개인 프라이버시를 위협할 뿐만 아니라 주요 규정 준수 벌금, 평판과 신뢰에 대한 장기적인 손상의 위험을 초래하며, 심지어 병원이나 의료 시스템을 정지시켜 치료 제공 능력을 방해하고 환자의 안전을 위험에 빠뜨릴 수도 있습니다. 이러한 추세에 맞서 의료 분야의 보안 침해를 방지하려면 위험과 주요 취약성에 대한 폭넓은 이해와 이러한 위험을 완화하기 위한 포괄적인 데이터 보안 및 ID 인증 프로그램이 필요합니다.

의료 분야에서 데이터 보안의 중요성

의료 분야의 보안 침해는 2021년에 사상 최고치를 기록했으며 지난 3년 동안 미국 의료 기록 보안 침해 건수가 3배 이상 증가한 추세를 계속 이어가고 있습니다. 의료 기록은 다음과 같이 간단한 이유로 인기 대상입니다. 의료 기록은 다크웹에서 도난당한 신용카드 데이터보다 최대 40배의 가치를 가집니다. 의료 기록에는 일반적으로 금융 계좌 정보를 포함하는 것 외에도 주민등록번호에서 건강 보험 수혜자 정보, 생체 인식 식별자에 이르기까지 모든 것이 포함되기 있기 때문입니다.

그러나 더 비중있는 이야기는 의료 분야에서 증가하는 보안 침해가 의료 산업의 디지털 혁신과 직접적으로 관련되어 있다는 것입니다. 오늘날 의료 서비스 제공은 데이터에 전적으로 의존합니다. 연결된 장치는 의료 정보를 제공하는 생체 정보와 기타 환자 건강 정보를 수집합니다. 전자 의료 기록(EHR)은 해당 정보를 저장하고 절차 승인에서 약물 처방에 이르기까지 관리 워크플로를 주도합니다. 가장 단순한 치료부터 가장 복잡하고 발전된 치료에 이르기까지 모든 것이 이제 디지털 지원 기술을 통해 제공됩니다. 디지털 인프라는 조명 시설을 유지하고 복잡한 HVAC 시스템을 제어하며 물리적 액세스 및 보안을 제어하는 등 케어가 제공되는 시설과 공간을 뒷받침합니다. 이제 원격 의료 계층의 급속한 증가는 추가적인 데이터 보안 요구 사항에 부응하고 있습니다. 공급자는 타사 기술과 웹 기반 플랫폼을 통합하여 공급자에겐 효율적이고 환자에겐 원활하고 편리한 원격 의료를 만들어 가고 있습니다.

이 전체 에코시스템을 보호하기 위해서는 데이터 보안이 매우 중요합니다. 성공적인 포괄적인 데이터 보안 프로그램은 다음과 같은 세 가지 핵심 결과를 얻을 수 있습니다.

  1. 환자 신뢰 및 충성도
    오늘날 소비자로서의 환자는 "최상의" 치료를 추구할 수 있는 권한이 있으며 데이터 프라이버시에 점점 더 민감해지고 있습니다. 효과적인 데이터 보안 프로그램은 데이터 침해로 인한 명예 훼손과 그에 따른 환자 수 손실로부터 보호합니다
  2. 의료 품질 및 환자 안전
    환자 건강 정보에 중단 없이 액세스하고 중요한 기술 및 시스템의 기능을 보장하는 것은 의료 서비스 공급자의 가장 기본적인 목표입니다. 고품질 치료를 제공하고 환자 안전 위험을 완화합니다.
  3. 위반과 관련된 비용 방지
    의료 분야는 이미 데이터 프라이버시 규정의 선두주자이며 요건이 지속적으로 강화됨에 따라 사소한 보안 침해에도 상당한 벌금이 부과될 수 있습니다. 그러나 벌금은 보안 침해가 야기한 전체 비용에 비하면 빙산의 일각에 불과합니다. 예를 들어, 중간 규모 병원은 시간당 45,700달러의 비용으로 평균 10시간 동안 일반적인 사이버 공격을 막을 수 있습니다.

의료 분야의 주요 데이터 보안 문제는 무엇입니까?

가장 중요한 문제는 위에서 언급한 것처럼 의료 분야의 모든 측면이 기하급수적으로 디지털화되는 것입니다. 의심의 여지 없이 이 디지털 혁신은 환자와 의료 제공자 모두에게 엄청난 이점을 가져다 줄 것이며 앞으로 몇 년 동안 계속해서 강력한 새로운 가능성과 잠재력을 열어줄 것입니다. 그러나 훨씬 더 광범위하고 복잡한 디지털 에코시스템을 생성하면 악의적인 공격자가 액세스하거나 데이터가 유출 또는 노출될 수 있는 지점이 훨씬 더 많기 때문에 보안 위험 또한 상당히 높아집니다. 2022년 봄 보고서에 따르면 의료 분야에서 데이터 보안 문제가 발생한 5가지 주요 원인은 다음과 같습니다.

  1. IoT 연결/”스마트” 의료 장치: 병원과 진료소에 연결된 장치의 수는 기하급수적으로 계속 증가하고 있습니다. 미국 보건복지부(HHS)에 따르면 가장 일반적으로 사용하는 연결된 의료 장치의 절반 이상이 사이버 공격에 취약합니다.
  2. 원격 의료 사용의 급증: 팬데믹으로 인해 원격 의료 및 모바일 의료로의 전환이 긍정적인 영향을 미치고 있습니다. 기존의 데이터 보안 “경계” 외부에서 의료 분야에 액세스하는 환자는 많은 보안 위험과 문제를 야기합니다.
  3. Cures Act(치료 법안): 2016 Cures Act는 의료 분야에서 시스템과 장치의 상호 운용성에 대한 장벽을 줄이는 것을 목표로 합니다. 이는 기술 혁신을 직접적으로 지원하고 가속화하지만, 전송 중에 데이터가 유출되거나 도난당할 수 있는 추가 지점도 제시합니다.
  4. 리소스가 부족한 IT 부서: 인력 및 예산이 부족하면 병원의 모든 부서에 영향을 미치게 되며, 이로 인해 보안 패치 문제나 기술 스택이 최신 요구 사항과 위험을 따라잡도록 업데이트 및 강화되지 않는 문제가 발생할 수 있습니다. 더욱이 HHS는 일반적인 병원이 기술 및 인력 관점에서 사이버 공격자들에게 단순히 "공격 당했다"고 보고합니다.
  5. 직원 보안 교육 부족: 피싱 링크를 클릭하거나 자격증명을 분실 또는 공유하거나 등록되지 않은 방문자를 시설에 허용하는 등 인적 요소는 여전히 가장 큰 보안 위험입니다.

실제로 의료 보안 침해 사고 4건 중 3건이 이 5가지 주요 원인 중 하나에서 비롯된 것으로 추정됩니다.

의료 보안 침해 방지

의료 보안 침해 방지를 위한 5가지 전략

환자 데이터 보호에 집중하는 것부터 시작

가장 기본적인 데이터 보안 전략은 올바른 기술과 프로세스를 구축하고 데이터 보안 문화를 형성하여 최신 의료 서비스를 제공하는 환자 데이터 보호에 중점을 두는 것입니다. 환자 데이터의 가용성과 무결성을 보장하기 위해 병원과 의료 시스템은 다음과 같은 몇 가지 조치를 취해야 합니다.

  • 모든 환자 데이터를 전송 중이거나 미사용 상태에서 암호화하고 토큰화하여 무단 액세스로부터 보호합니다.
  • 환자 기록의 디지털 서명을 활성화하여 환자 데이터에 대한 안전한 제어망을 유지하고 사기 및 위조 위험을 완화합니다.
  • 환자 데이터를 공유하거나 이동할 때 모든 개인 식별 정보(PII)를 토큰화하여 환자 프라이버시를 추가로 보호해야 합니다.

모든 규정 준수 사항을 확인

환자 데이터 보안의 임상적 중요성 외에도 건강보험이동성과 결과보고책무활동, 경제적 및 임상적 건전성을 위한 의료 정보기술(HITECH)에 관한 법안부터 개인정보보호 규정(GDPR), 캘리포니아 소비자 개인정보 보호법(CCPA), 전자 식별, 인증 및 신뢰 서비스(eIDAS) 등에 이르기까지 병원과 의료 시스템은 지속적으로 엄격한 규제 요건 하에서 규정을 준수하고 유지해야 합니다.

대부분의 의료 기관에서는 건강보험이동성과 결과보고책무활동 준수를 촉진하는 것을 가장 큰 주안점으로 두고 있습니다. 다음은 건강보험이동성과 결과보고책무활동 규정 준수를 위한 데이터 보안의 4가지 영역입니다.

  • 강력한 인증: 건강보험이동성과 결과보고책무활동은 공간, 자산, 데이터에 대한 물리적 액세스와 디지털 액세스를 제한, 제어, 모니터링하는 데 최우선 순위를 둡니다. 인증 받은 사용자가 ID 및 액세스 권한을 빠르고 쉽게 인증할 수 있도록 고수준 보안 보장, 자격증명 기반 인증을 제공합니다.
  • 디지털 인증서: 디지털 인증서는 장치나 서버 또는 사용자의 ID을 확인할 때 강력한 인증을 보완합니다. 강력한 디지털 인증서 프로그램은 병원이나 의료 시스템 내에서 연결된 IoT 장치의 마찰 없이 완전히 통합된 에코시스템을 구현하는 데 점점 더 중요해지고 있습니다.
  • 데이터 보호: 건강보험이동성과 결과보고책무활동은 "합리적이고 적절하며" 정당한 사유가 주어지지 않는 한 보호 건강 정보(PHI)를 암호화해야 한다고 규정합니다. 또한 전송 중이든 미사용이든 효과적인 데이터 암호화를 통해 조직이 보안 위반 시 무거운 처벌을 피할 수 있습니다.

중요한 디지털 아키텍처에 대한 데이터 보안 강화

데스크톱 워크스테이션과 레거시 온프레미스 기술을 보호하는 데 사용된 데이터 보안의 표준 및 모범 사례로는 클라우드 기반 앱, 모바일 지원 연결, 경계 없는 기술 스택의 시대를 따라갈 수 없습니다. 병원과 의료 시스템은 필요할 때 즉각적으로 비마찰 액세스할 수 있는 동시에 증가하는 사이버 공격, 사기, 침해 위험을 방지할 수 있는 미래 지향형 보안 스택을 구축해야 합니다. 중점적으로 다룰 세 가지 영역은 다음과 같습니다.

  • EHR 시스템을 보호하기 위한 조치: IoT 장치용 디지털 인증서, 암호 없는 로그인, 고수준 보안 보장, 자격증명 기반 인증,연방 정보 처리 표준(FIPS)에서 검증된 하드웨어 보안 모듈(HSM)은 조직에서 EHR 시스템의 디지털 무결성을 보호하고 의료 분야의 보안 침해를 방지하는 데 도움이 될 수 있습니다.
  • 안전한 IoT 장치: 엔터프라이즈급 암호화 및 디지털 서명은 기본 암호화 키를 보호하는 신뢰 루트와 함께 안전한 환경을 보장하기 위한 모범 사례로 항상 사용되어야 합니다.
  • 하드웨어 및 펌웨어 보호: 고수준 보안 보장 디지털 인프라는 연결된 스마트 IoT 장치를 지원하는 펌웨어의 신뢰성과 무결성을 보장하기 위해 키, 인증서, 엔드투엔드 암호화를 사용해야 합니다.

스마트 데이터 보안 기술을 사용하여 생산적인 최신 인력 지원

"New normal(새로운 표준)"은 의료 인력의 업무 방식을 변화시키고 있습니다. 공급자는 원격 의료 서비스와 모바일 의료 서비스를 통해 가상으로 환자와 상호 작용합니다. 임상 직원과 관리 직원은 원격 작업모델, 하이브리드 작업 모델을 수용합니다. 이러한 새로운 업무 방식을 가능하게 하는 것은 치료가 전달되는 방식을 확장하고 개선하는 데 필수적입니다. 또한 지속적인 노동 압력에 직면하여 직원을 유치하고 유지하는 것은 물론 경제적 결과를 보호하는 데도 매우 중요합니다.

  • 차세대 기술 통합: 생산성과 협업 기술의 세계에서 혁신 속도는 계속해서 가속화되고 있습니다. 차세대 도구와 기술은 임상의와 직원이 새롭고 더 스마트하며 더 나은 방식으로 작업할 수 있게 해줍니다. 새로운 기술을 신속하게 통합하는 병원 또는 의료 시스템의 능력은 새로운 앱, 새로운 통합, 새로운 워크플로에 필요한 인증, 암호화, 기타 데이터 보안 조치를 적용할 수 있는 민첩하고 미래 지향적인 보안 기술 스택을 보유하는 데 달려 있습니다.
  • 비마찰 액세스 활성화: 혁신적인 신기술의 가치는 신기술에 신속하게 액세스할 수 있는 능력과 신기술 사이를 넘나들며 치료를 제공하고 주요 워크플로를 수행할 수 있는 능력에 의해 제한됩니다. 생산성 이점에서 부터 개선된 진료 품질, 환자 및 직원 만족도 상승에 이르기까지 디지털 혁신의 잠재력을 모두 이끌어내는 것은 이러한 종류의 비마찰 액세스를 가능하게 하는 데 달려 있습니다.
  • 물리적 보안으로 인력 유연성 지원: 하이브리드 작업 모델에서 가장 간과하는 영향 중 하나는 물리적 보안 및 액세스 제어 프로그램의 변경이 종종 필요하다는 것입니다. 승인된 직원이 표준 교대 시간 외에 시설에 액세스할 수 있도록 하는 것부터 환자 및 방문자를 위한 비접촉 체크인, 직원과 자원 봉사자의 온보딩과 오프보딩에 이르기까지 병원 및 의료 시스템은 환자 데이터 프라이버시 및 보안에 위험을 초래할 수 있는 물리적 보안 프로그램의 빈틈과 문제를 재평가해야 할 수 있습니다.

원격 의료 서비스 지원과 디지털 거래의 촉진 및 보호

원격 의료, 모바일 치료, 기타 가상 치료와 원격 치료 제공 옵션에 대한 환자 수요는 계속 유지될 것입니다. 의료 기관 역시 이러한 새로운 치료 전달 방식의 많은 이점을 인식하고 있습니다. 그러나 환자가 기대하는 수준으로 편리하고 개인화된 개인 경험을 제공하고, 서비스가 부족한 인구에 대한 액세스를 확대하면서도 효율성을 높일 가능성을 실현하려면 완전히 새로운 데이터 보안 문제를 야기합니다.

  • 원격 환자 온보딩 및 인증: 원격 의료 서비스 제공과 관련된 가장 간단한 데이터 보안 문제는 물리적으로 존재하지 않는 환자의 ID를 인증하는 것입니다. 의료 기관은 안전한 셀프 서비스 환자의 신원 확인을 가능하게 하는 기술을 도입해야 합니다. 또한 완전한 가상 진료 시나리오에서 신규 환자를 온보딩하기 위한 새로운 워크플로를 구축해야 합니다.
  • 클라우드 기반 진료 제공에서 PHI 보호: 웹 및 클라우드 기반 앱을 통해 환자와 연결하고 진료를 제공한다는 것은 엄청난 양의 PHI가 기존 네트워크의 안전과 보안 경계를 훨씬 벗어나 앞뒤로 확대되고 있음을 의미합니다. 포괄적인 데이터 보호 전략에는 환자 데이터의 원활한 교환을 용이하게 하는 동시에 유출 또는 도난으로부터 보호하기 위해 발전된 엔드투엔드 암호화, 강력한 인증서 및 공개 키 인프라(PKI)가 포함되어야 합니다.
  • 경계를 넘어선 웨어러블 및 장치 보안: 기본적인 1차 진료 방문 외에도 원격 의료 서비스 제공의 가장 큰 동인은 의료 공급자가 환자 건강 정보를 실시간으로 모니터링하고 대응할 수 있도록 하는 연결된 의료 장치의 발전입니다. 여기에는 CPAP, 투석기, 심장 박동기와 같은 "스마트" 의료 장치부터 스마트워치 및 연속 혈당 측정기와 같은 웨어러블의 급성장에 이르기까지 다양합니다. 의료 기관은 이러한 연결된 장치에서 내부 시스템으로의 PHI 전송을 보호할 뿐만 아니라 연결된 장치 자체의 하드웨어 및 펌웨어를 보호하기 위해 강력한 데이터 보안 기술을 마련해야 합니다.
  • 디지털화된 거래 및 결제 보안: 정교한 디지털 서명 기술은 원격 진료 제공의 프런트엔드와 백엔드 모두에서 중요한 역할을 합니다. 의료 기관에는 검사 요청 및 처방과 같은 공급자 주문을 빠르고 확실하게 인증할 수 있는 안전하고 원활한 방법이 필요합니다. 백엔드에서는 기술 인프라를 제공하여 보험 청구의 신뢰성을 보장하고 환자가 안전하게 지불할 수 있도록 해야 합니다.