Offcanvas

보안 / 웨어러블 / 클라우드

의료 분야의 클라우드 활용··· '특별함'이 필요하다

2015.10.26 Maria Korolov  |  CSO
이제 의료는 사이버 범죄자들이 가장 많이 노리는 표적이 됐다. 이에 따라 일부 의료 기관은 보안이 우수한 외부 클라우드 업체를 찾기 시작했다. 그러나 전문가들은 외부 업체를 이용하더라도 특별히 주의하지 않고 클라우드 서비스를 이용한다면 보안 문제가 발생할 수 있다고 경고했다.


이미지 출처: THinkstock

세일즈포스는 지난달 클라우드 기반의 환자 관리 솔루션인 '세일즈포스 헬스 클라우드'를 도입했다. 세일즈포스 헬스 클라우드는 진료 기록, 웨어러블에서 측정되는 건강 기록 등 각종 의료 기록을 통합·저장·관리해주는 솔루션이다. 고객인 의료 기관은 언제 어디서나 이 클라우드에 접속해 필요한 정보를 내려 받거나 올릴 수 있다.

전문가에 따르면 각 의료 기관은 헬스케어 클라우드에 접근할 수 있는 권한을 제한할 필요가 있다. 가장 취약한 곳의 보안부터 유지돼야 전체 시스템의 보안을 안정적으로 유지할 수 있기 때문이다. 세일즈포스와 같은 전문 업체의 서비스를 이용하면, 대부분의 경우 자체적으로 데이터를 관리했을 때보다 더 높은 수준의 보안을 유지할 수 있다.

클라우드 보안업체 스카이하이 네트웍스의 최고경영자인 라지브 굽타는 “세일즈포스는 그 어느 병원보다도 보안에 더 집중적으로 투자한다. 세일즈포스는 주기적으로 시스템 패치를 실시한다”고 말했다.

그는 상당수의 보안 담당자들이 세일즈포스 헬스 클라우드를 이용하기 시작하면서 심리적인 안정감을 되찾고 있다고 분석했다. 굽타는 “세일즈포스 헬스 클라우드는 필수적인 시스템이다. 이제는 이 시스템을 이용해야 할 시기”라고 말했다.

굽타는 다른 클라우드 서비스의 위험성에 대해서도 언급했다. 그는 “헬스케어 종사자가 주로 사용하는 클라우드 서비스는 26개인데, 그 중에서 5.6%는 ‘고위험군’에 속한다”고 밝혔다. 굽타는 이어 “대부분의 의료 기관은 이러한 서비스가 ‘고위험군’에 속하는지 모른 채 가입을 희망한다”고 말했다.

굽타에 따르면 의료 기관은 보안, 거버넌스, 컴플라이언스 요건을 따르면서 동시에 의사들이 최상의 클라우드 기술을 이용할 수 있도록 유연한 환경을 조성해야 한다. 그는 “세일즈포스는 기업에 최적화된 서비스를 제공하고 있다. 그러면서도 위험성은 가장 낮다”고 평가했다.

상당수의 의료 기관들이 이미 세일즈포스 헬스 클라우드를 이용하고 있다. 미국 테네시주 내슈빌에 위치한 중견 기업 미션포인트 헬스 파트너스는 이 클라우드를 활용해 전체 공급자 네트워크를 관리하고 있다. 헬스케어 정보 관리 기관인 미시간 헬스 인포메이션 네트워크도 이 클라우드를 이용해 연간 63억 달러(약 7조 1,316억원) 규모의 미시간주 의료 문제를 해결하고 있다.

그 밖의 세일즈포스 고객사 중에는 콜로라도주에 있는 헬스케어 시스템 제공업체인 센츄라 헬스, 캘리포니아주의 의료 기기 제조업체인 DJO 글로벌, 네덜란드 라드바우드 대학의 메디컬 센터, 샌프란시스코에 있는 캘리포니아 대학교 산하 건강과학 연구소가 있다.

세일즈포스의 최고의료책임자인 조쉬 뉴먼은 “한 가지 특별한 이유 때문에 고객들이 우리 회사의 클라우드를 선택한다”면서 “중소기업들은 대기업이 이용하는 보안 및 컴플라이언스를 따른다. 따라서 (대기업) 고객들은 이에 관여할 필요가 없으므로 시간·비용 에너지를 절약할 수 있다”고 말했다.

뉴먼은 세일즈포스닷컴이 HIPAA(Health Insurance Portability and Accountability Act)를 준수하고 있다고 밝혔다. 또 세일즈포스는 고객들에게 상황 모니터링, 감사 추적, 암호화 등 다양한 보안 및 컴플라이언스 툴을 제공하고 있다.

물론 세일즈포스 헬스 클라우드에도 취약점은 있다. 예를 들어 의사가 태블릿이나 노트북으로 클라우드에 접속할 때 자동 로그인 방식으로 접속하는 경우, 로그인 정보가 자동으로 저장되기 때문에 다른 사람이 클라우드에 접속할 수 있다.

보안업체 얼러트세크(Alertsec)의 미국지사장인 에바 블리츠는 세일즈포스의 고객이라고 밝힌 바 있다. 그녀는 “노트북으로 클라우드에 로그인할 때 비밀번호 저장 여부를 묻는 메시지가 나타나는데, 이때 ‘저장’을 선택하면 안 된다. 노트북을 분실해 누군가가 발견했을 경우, 세일즈포스 클라우드에 접속할 수 있기 때문”이라고 말했다.

블리츠는 이중 인증 시스템을 사용하라고 충고했다. 지문·모션·음성 인식 등 모바일 로그인 방식은 간편하지만, 로그인 정보를 자동으로 저장한다는 점 때문에 보안이 다소 취약하기 때문이다.

또 블리츠는 각 의료 기관들이 환자 정보의 캐시 관리에도 주의를 기울여야 한다고 충고했다. 그녀는 “(모바일 기기에 저장된 캐시가 악용될 경우를 대비해) 암호화 처리를 해둬야 한다”고 덧붙였다.

한편 뉴먼은 자사 고객들에게 각종 보안 팁을 안내하고 있다고 밝혔다. 세일즈포스는 로그인이 가능한 IP 주소를 미리 지정하거나, 등록되지 않은 IP 주소에서 접속을 시도할 경우 SMS 인증 절차를 밟게끔 설정하라고 조언했다. 또 비밀번호 보안을 강화하고, 섹션별로 암호화하며, 인증 만료된 섹션은 즉시 폐기하라고 조언했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.