한 보안 전문가가 밝힌 ‘의료 업계 IT보안이 유독 어려운 이유’

보안 전문가 거너 피터슨은 <CSO온라인>과의 인터뷰에서 의료 IT 시스템의 보안 관리가 어떤 측면에서 다른 산업의 비즈니스 IT 인프라와 차이를 보이는 지에 대해 설명했다.

CSO온라인은 의료 산업이 고객 기록의 보안을 유지하고 비즈니스 테크놀로지 시스템을 안정적으로 구동하는 과정에서 맞닥뜨려온 다양한 어려움들에 관한 자료를 수집해 왔다. 이번 주 우리가 만나본 인물은 미네소타 주 미니애폴리스에 있는 컨설팅 기업인 아크텍 그룹(Arctec Group)의 경영 원장 거너 피터슨이다. 피터슨은 금융, 의료, 제조, 그리고 보험 산업의 수 많은 신생 기업들에 분산 시스템의 보안을 담보할 대규모 핵심 시스템을 공급하고 있다. 피터슨은 또한 1레인드롭 블로그(1raindrop)를 운영하며 의료 산업의 보안과 관련한 다양한 흥미로운 담론들을 다루고 있다.

CSO: 의료 데이터 보안 관리 작업은 어떠한 측면에서 여타 산업에서의 데이터 처리 과정의 보안 유지와 차이를 보이는가?
거너 피터슨: 내 생각에, 의료 산업에는 (한 가지 측면을 제외하곤 모든 면에서) 여타 대다수의 산업에 비해 보안 설계자(security architect)와 CSO를 괴롭히는 수 많은 과제들이 산재해 있다. 예외적인 한 가지 측면이란 금융 서비스 시장에서 지속적으로 발생하는 각종 금융적 공격이다. 이는 컴퓨터가 도입되기 훨씬 이전부터 존재하던 문제다. 이를 제외한다면, 의료 산업은 모든 측면에서 여타 시장들에 비해 그 관리가 어렵다.

우선 거래의 측면을 살펴보자. 보안 설계자들이 금융 산업에서 누릴 수 있는 한 가지 편리한 점은 그 곳이 매우 이분법적인 거래 모델을 따른다는데 있다. 돈은 내 계좌에 있거나, 당신의 계좌에 있거나, 혹은 지주 회사의 계좌에 있다. 돈이 어디에 있는지, 리스크가 어디에 존재하는지에 관해서는 중간 지대가 있을 수 없다. 바꿔 말하자면 이러한 거래 모델은 매우 간단하다. 모든 것이 표준화 돼 있기 때문이다. 이들 모델은 많은 이들에 의해 오랜 기간 수정되어온 것이다. 만일 당신이 금융 서비스 기업의 CISO로 임명된다면, 기업은 당신에게 상당히 직관적인 거래 모델 매뉴얼(manual)을 제공할 것이다.

반대로 의료 기록이나 의료 보험과 같은 의료 산업의 서비스들을 떠올려보자. 이러한 작업들간에는 다양한 상호작용이 이루어지지만, 이들 사이에는 동질성, 혹은 표준이라 할 만한 요소가 거의 존재하지 않는다. 당신이 의료 기업의 보안 설계자, 혹은 의료 기록을 다루는 특정 직책에 임명되더라도, 당신은 거래 모델 가이드를 기대할 수 없을 것이다. 프로토콜이나 데이터 포맷 그 어느 것도 통일돼 있지 않기 때문이다. 당신은 이 곳의 보안을 관리할 방법을 스스로 개발해 내야 한다. 즉, 금융 서비스가 깔끔하게 조리된 라자냐라면, 의료 산업은 열 종류의 소스로 뒤덮인 스파게티라 할 수 있을 것이다.

이제, 이러한 조직적 혼란은 많은 부분 우리가 활용할 수 있는 (접속 통제, 커버로스(Kerberos), SAML, 데이터 암호화 등의) 기술적 프로토콜로 변화하고 있다. 우리는 이들 중 필요한 요소를 선별해 문제 해결에 활용해야 한다. 그러나 당신이 선택한 그 요소가 여전히 뒤죽박죽이라면, 문제는 악화될 것이다. 이러한 점이 의료 산업에서의 보안 문제 관리를 보다 어렵게 만드는 요인이다.

CSO: 그렇다면 이러한 ‘뒤죽박죽’은 의료 기술자들이 거래 흐름이나 데이터의 사용 방식을 예측하는 과정에 어려움을 겪기 때문에 발생하는 것인가?
피터슨: 많은 부분 그러하다고 생각한다. 물론 다른 요인도 영향을 미친다. 여기에는 기업의 책임도 있다. 이들 의료 기업들은 여타 산업의 기업들에 비해 1/10 수준의 자금만을 보안에 투자하고 있다(이러한 수치를 보여주는 자료는 많다). 물론 거기에는 그만한 이유가 있을 것이다. 이것이 그들에겐 신중한 고민의 결과물일지도 모른다. 나 역시 이러한 측면에 대해서는 문외한이다.

그러나 이들 기업에서 문제 해결의 책임을 맡고 있는 이들과 대화를 나눠보면, 그들은 언제나 턱도 없는 자원으로 수 많은 문제들을 처리하고 있다고 이야기한다. 이것이 바로 문제다. 의료 시장에서, 보안 담당자는 매 순간 데이터의 안정성과 여타 보안 문제 사이에서 선택을 해야만 한다. 즉, 당신은 이 10가지 소스의 스파게티를 관리해야 할 뿐만 아니라, 그 과정에서 비용의 문제 역시 고려해야 하는 것이다. 그리고 이 때 가장 우선적으로 다룰 필요가 있는 문제는 보안 충돌과 프라이버시다. 이들 모두는 관리가 매우 까다로운 문제임에 틀림없다.

그렇다면 시선을 다시 산업 수준, 즉, 자본으로 되돌려보자. 누가 보안 기술에 가장 많은 돈을 투자하는가? 누가 가장 많은 티볼리 액세스 매니저(Tivoli Access Manager)를 구매하는가? 누가 가장 많은 오라클 액세스 매니저(Oracle Access Manager)를 구매하는가? 단연코 금융 서비스다. 바꿔 말하면, 보안 업체의 투자조차도 금융 산업에 가장 집중돼 있는 것이다. IBM이나 오라클을 비롯한 모든 대형 기업들은 그들의 최대 고객인 이들의 요구에 부응하는 방향으로 혁신을 이뤄나간다. 즉, 그들은 점점 더 금융 서비스 산업에 적합하게 변화해나가는 것이다.

CSO: 의료 IT 기업들이 그들의 보안 역량을 가장 효율적으로 향상시킬 수 있는 영역은 어느 곳일까?
피터슨: 나는 이 문제에 적절한 답을 발견했다. 그리고 다행히 그 영역은 한 곳이 아니었다. 그러나 많은 보안 팀들은 필요한 자금도, 도구도 넉넉히 주어져있지 않은 상황에 처해있다. 따라서 이들에게 적합한 가장 효율적인 솔루션을 추천하자면, 우선 기초 도구에 대한 모니터링 검토를 시행해보라. 다양한 정보 보호 문제를 해결하고 적절한 포괄적 암호화 전략을 확보하기 위한 기본 단계는 매 순간 모든 영역의 모든 데이터를 암호화하는 것이다. 그러나 앞서 말한 비용상의 지원 문제로 실제 상황에 이러한 전략을 도입하는 데에는 어려움이 따를 수 있다. 현재의 의료 산업은 일종의 딜레마에 빠져있는 상황이다.

기술적으로, 이는 절대 고급스런 방식이 아니다. 이는 분명 시스템의 구멍을 메워주지 못한다. 엔지니어로써, 나 역시 이를 선호하지 않는다. 그러나, 제한된 기간 내에 현실적인 효과를 얻길 원한다면, 이밖에 별다른 대안은 없을 것이다. 당신의 CIO에게 찾아가 말하라. “경기가 어렵다는 것은 알지만, 이 암호화 프로젝트를 내년까지 완료하기 위해선 열 배의 자금이 필요하다”라고 말이다. 물론 나 또한 당신의 상사가 “골프나 치면서 그 문제를 좀 더 예기해 보자고, 멋진 아이디어 같군!”이라 말하며 당신을 격려할 것이라 생각지는 않는다. ciokr@idg.co.kr