2012.04.24

“규제만 잘 지킨다고 보안 문제가 해결되는 것은 아니다”••• 조사 결과

Taylor Armerding | CSO
‘2012년 HIMSS 분석 보고서: 환자 데이터 보안(HIMSS Analytics Report: Security of Patient Data)’에 따르면, 지난 6년 동안 IT서비스 업체의 규제를 강화했으나 데이터 유출이 증가하는 것을 막지 못한 것으로 조사됐다.

규제 준수가 곧 보안은 아니라는 인식은 정보 보안 업계에서는 진부해진 얘기다.

그러나 HIMSS 애널리틱스(HIMSS Analytics)와 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 최근 연구에 따르면, 규제 준수가 보안이 아니라는 인식으로는 문제를 해결할 수 없다는 주장이 제기됐다.

‘2012 HIMSS 분석 보고서: 환자 데이터 보안’ 에 따르면 규제가 점점 더 엄격해지고 IT업체들이 이를 준수하고 있지만 지난 6년 동안 정보 유출 사고의 증가를 둔화시키지 못한 것으로 나타났다.

그러나 이 조사에 참여한 응답자로는 CIO, 컴플라이언스 담당자, 의료정보 관리자 등이며 이들은 2009년 제정된 개인의료정보보호 관련 법(HITECH)같은 규제를 더 잘 준수하기 때문에 데이터 도난에 더 잘 대비할 수 있다는 확신하는 것으로 나타났다.

이 보고서는 크롤이 2년에 한번 미국내 의료 정보 업체들을 대상으로 진행하는 조사결과로 이번이 세 번째 발간하는 것이다.

크롤의 수석 부사장 브라이언 라피더스는 정부 규제를 잘 준수한다고 해서 실제로 개인 의료 정보(PHI)를 잘 보호하고 있다고 보기는 어렵다고 말했다. 이는 다른 보안 전문가들도 의견을 같이 했다. 그동안 규제를 위반했다고 보고된 건수를 보면, 2008년 13%에서 2010년 19%, 2011년 27%로 증가했기 때문이다.

PHI 위반으로 금전적인 피해도 확대되고 있다. 여기에는 데이터 손실을 처리하는 데 드는 비용뿐 아니라 이로 인한 소송에 드는 비용까지도 고려해야 한다. 실제로 캘리포니아에서는 의료 기관이 환자당 1,000 달러를 배상하라는 판례가 있다.

규제 준수만으로는 부족한 이유 중 하나는 보안 전문가들도 잘 알고 있는 것이었다. 정보 유출은 사람의 실수지 정책이나 시스템, 조직적인 결함이 아니기 때문이다.

캘리포니아에 있는 의료 소송 전문 로펌 필스버리 윈스롭 쇼 피트먼 LLP (Pillsbury Winthrop Shaw Pittman LLP)의 파트너 변호사인 사라 플래너건은 “개인 정보 보호 위반을 사례를 분석해 보면, 이 사고들이 조직이라기 보단 한 사림의 실수로 발생하는 것을 더 자주 봤다”라고 말했다.

대다수 기업들이 보안 정책을 직원들에게 강요해 이들이 노트북이나 외장 하드를 집에 가져가지 않고 스타벅스에서 커피 마실 때 회사 기밀 정보를 화면에 띄어놓지 않으며 기밀 정보를 화면에 띄운 채 퇴근하지 않더라도 정보 유출은 발생한다. 또 다른 유출 경로는 모바일 기기의 폭발적인 사용 증가가 정보 유출의 위험을 가중시킨다는 점이다. 모든 전문가들은 데이터에 더 쉽게 접근할수록 정보 유출의 위험이 상승한다는 데에 동의하고 있다.

플래너건은 100% 안전을 기대하면서 원격으로 정보에 접근하고 싶어할 때 사람들은 당연히 긴장하게 된다고 말했다. "사람들이 그러한 긴장을 고마워할 지는 모르겠다"라고 그녀는 전했다.

이 보고서는 데이터 보안에 대한 책임을 누가 져야 하는지에 대해서는 여전히 논란이 있다는 사실을 보여줬다. 응답자들은 데이터 보안 책임자로 CIO, CSO, CEO, 의료정보관리자, 최고 컴플라이언스 책임자 등을 지목했다.

누가 데이터 보안을 책임지건, 보안은 모든 임원들의 책임이다. 직원이 10명이건, 100명이건, 아니면 1,000명이건 간에 보안 정책을 준수하지 않을 경우 초래될 사태에 대해 이해하고 있어야 한다. 규제를 준수했다 해도 과실로 판단되는 행위가 있다면, 그것이 미미하지만 나쁜 결과를 초래할 가능성을 배제할 순 없을 것이다. "이 때문에 규제를 강화해야 한다"라고 플래너건은 덧붙였다. ciokr@idg.co.kr



2012.04.24

“규제만 잘 지킨다고 보안 문제가 해결되는 것은 아니다”••• 조사 결과

Taylor Armerding | CSO
‘2012년 HIMSS 분석 보고서: 환자 데이터 보안(HIMSS Analytics Report: Security of Patient Data)’에 따르면, 지난 6년 동안 IT서비스 업체의 규제를 강화했으나 데이터 유출이 증가하는 것을 막지 못한 것으로 조사됐다.

규제 준수가 곧 보안은 아니라는 인식은 정보 보안 업계에서는 진부해진 얘기다.

그러나 HIMSS 애널리틱스(HIMSS Analytics)와 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 최근 연구에 따르면, 규제 준수가 보안이 아니라는 인식으로는 문제를 해결할 수 없다는 주장이 제기됐다.

‘2012 HIMSS 분석 보고서: 환자 데이터 보안’ 에 따르면 규제가 점점 더 엄격해지고 IT업체들이 이를 준수하고 있지만 지난 6년 동안 정보 유출 사고의 증가를 둔화시키지 못한 것으로 나타났다.

그러나 이 조사에 참여한 응답자로는 CIO, 컴플라이언스 담당자, 의료정보 관리자 등이며 이들은 2009년 제정된 개인의료정보보호 관련 법(HITECH)같은 규제를 더 잘 준수하기 때문에 데이터 도난에 더 잘 대비할 수 있다는 확신하는 것으로 나타났다.

이 보고서는 크롤이 2년에 한번 미국내 의료 정보 업체들을 대상으로 진행하는 조사결과로 이번이 세 번째 발간하는 것이다.

크롤의 수석 부사장 브라이언 라피더스는 정부 규제를 잘 준수한다고 해서 실제로 개인 의료 정보(PHI)를 잘 보호하고 있다고 보기는 어렵다고 말했다. 이는 다른 보안 전문가들도 의견을 같이 했다. 그동안 규제를 위반했다고 보고된 건수를 보면, 2008년 13%에서 2010년 19%, 2011년 27%로 증가했기 때문이다.

PHI 위반으로 금전적인 피해도 확대되고 있다. 여기에는 데이터 손실을 처리하는 데 드는 비용뿐 아니라 이로 인한 소송에 드는 비용까지도 고려해야 한다. 실제로 캘리포니아에서는 의료 기관이 환자당 1,000 달러를 배상하라는 판례가 있다.

규제 준수만으로는 부족한 이유 중 하나는 보안 전문가들도 잘 알고 있는 것이었다. 정보 유출은 사람의 실수지 정책이나 시스템, 조직적인 결함이 아니기 때문이다.

캘리포니아에 있는 의료 소송 전문 로펌 필스버리 윈스롭 쇼 피트먼 LLP (Pillsbury Winthrop Shaw Pittman LLP)의 파트너 변호사인 사라 플래너건은 “개인 정보 보호 위반을 사례를 분석해 보면, 이 사고들이 조직이라기 보단 한 사림의 실수로 발생하는 것을 더 자주 봤다”라고 말했다.

대다수 기업들이 보안 정책을 직원들에게 강요해 이들이 노트북이나 외장 하드를 집에 가져가지 않고 스타벅스에서 커피 마실 때 회사 기밀 정보를 화면에 띄어놓지 않으며 기밀 정보를 화면에 띄운 채 퇴근하지 않더라도 정보 유출은 발생한다. 또 다른 유출 경로는 모바일 기기의 폭발적인 사용 증가가 정보 유출의 위험을 가중시킨다는 점이다. 모든 전문가들은 데이터에 더 쉽게 접근할수록 정보 유출의 위험이 상승한다는 데에 동의하고 있다.

플래너건은 100% 안전을 기대하면서 원격으로 정보에 접근하고 싶어할 때 사람들은 당연히 긴장하게 된다고 말했다. "사람들이 그러한 긴장을 고마워할 지는 모르겠다"라고 그녀는 전했다.

이 보고서는 데이터 보안에 대한 책임을 누가 져야 하는지에 대해서는 여전히 논란이 있다는 사실을 보여줬다. 응답자들은 데이터 보안 책임자로 CIO, CSO, CEO, 의료정보관리자, 최고 컴플라이언스 책임자 등을 지목했다.

누가 데이터 보안을 책임지건, 보안은 모든 임원들의 책임이다. 직원이 10명이건, 100명이건, 아니면 1,000명이건 간에 보안 정책을 준수하지 않을 경우 초래될 사태에 대해 이해하고 있어야 한다. 규제를 준수했다 해도 과실로 판단되는 행위가 있다면, 그것이 미미하지만 나쁜 결과를 초래할 가능성을 배제할 순 없을 것이다. "이 때문에 규제를 강화해야 한다"라고 플래너건은 덧붙였다. ciokr@idg.co.kr

X