[디지털데일리 이민형기자] 최근 기업들뿐만 아니라 의료기관에서도 스마트워크에 대한 수요가 증가하고 있다. 언제 어디서든 스마트폰, 태블릿으로 환자의 과거병력과 현재상태 등을 즉각적으로 파악해 업무효율성을 높이기 위해서다.
또 모바일 기기를 통해 병상에 있는 환자와 보호자들에게 현재 치료상황을 설명해줄 수 있다는 점에서 환자들의 진료만족도가 높아진다는 장점도 있다.
그러나 정보에 접근할 수 있는 경로가 많아지면 보안에 대한 문제도 생기기 마련. 모바일은 그 특성상 분실과 도난에 대한 위협이 도사리고 있으며, 통신방식 무선이기에 스니핑(데이터 도청)의 우려도 있다.
분당서울대병원은 지난해 클라우드 기반의 모바일 진료정보시스템을 구축하면서 모바일 보안 인프라에도 많은 신경을 썼다.
우선 모바일 DMZ(네트워크 중립지대)를 설치해 비인가된 인원들의 사내 네트워크 접근을 막았으며, 모바일단말관리(MDM) 솔루션을 전사적으로 도입해 환자정보보호에도 만전을 기했다.
또 무선침입방지시스템(WIPS)의 도입으로 외부로부터의 침입을 탐지하고, 막을 수 있도록 했으며, 환자정보보호를 위해 웹방화벽, DB암호화, DRM 솔루션도 모두 구축했다.
윤종활 분당서울대병원 의료정보팀장은 “모바일 진료정보시스템을 구축하려고 계획했을 때부터 보안도 같이 고민했다. 의료정보는 금융정보만큼이나 민감한 정보이며, 이를 보호할 수 있는 방법이 강구되지 않는 한 모바일 진료정보시스템은 빛 좋은 개살구가 될 것이라고 판단했기 때문”이라고 강조했다.
이어 “모바일 환경 구축시 발생할 수 있는 위험을 고민하는 한편, 개인정보보호법, 정보통신망법 등 법적으로 준수해야하는 부분도 생각했다. 여기서 가장 기본이 되는 솔루션은 바로 MDM 이었다”고 덧붙였다.
분당서울대병원 임직원들은 태블릿, 스마트폰으로 모바일 그룹웨어, 모바일 EMR(전자의무기록), 모바일 PACS(의료영상저장전송시스템)을 모두 활용할 수 있다. 단, MDM 솔루션이 설치돼 있다는 전제 하에서다.
윤 팀장은 “클라이언트 보안의 핵심은 MDM이다. 스마트폰에 MDM 설치돼 있지 않다면 의료용 애플리케이션(앱)이 동작하지 않는다. MDM이 의료용 앱과 서버간의 문지기 역할을 하는 것”이라며 “분실과 도난에 대한 문제도 MDM으로 해결할 수 있으며, 앱 업데이트에 대한 배포도 MDM으로 가능하다”고 설명했다.
분당서울대병원이 MDM과 함께 핵심 보안인프라로 고민했던 부분이 WIPS와 모바일VPN(가상사설망)이다. 단말의 보안이 확인됐다면, 그 다음은 단말과 서버를 연결해주는 구간도 철저하게 보호해야 한다. 스니핑에 취약하다는 것이 무선의 최대 단점 중 하나다.
WIPS는 기업 내부와 주변에 설치된 무선랜 비인가된 불법 AP를 신속하게 탐지하고 설치된 위치를 추적해 내부사용자의 불법 행위나 외부로부터의 불법접속을 통제하는 역할을 한다.
모바일 VPN은 모바일 단말과 서버간의 무선통신 패킷을 암호화해 패킷이 도청 당하더라도 이를 알아볼 수 없도록 한다.
병원내 불법으로 설치된 AP를 통해 모바일 EMR 등을 실행되면 중요한 환자정보를 탈취당할 수 있다. 분당서울대병원은 이를 막기 위해 WIPS와 모바일 VPN을 구축한 것.
윤 팀장은 “클라이언트 보안과 함께 네트워크와 시스템 보안도 매우 중요한 문제다. 향후 적용 범위를 더욱 넓혀나갈 계획”이라고 말했다.
이어 “강력한 보안인프라를 구축하더라도 인력관리에 실패하면 보안은 무너질 수 있다”며 “임직원 대상 정기적인 보안교육으로 보안에 대한 경각심을 일깨워야 한다”고 덧붙였다.