인공지능과 사물인터넷의 발달은 의료기기 개발에도 영향을 끼쳤다. 의료기기 및 서비스의 소프트웨어 개발과정에서 취약점이 꾸준히 발견되었으며, 의료기기들이 네트워크에 연결되기 시작하면서 개발자들이 생각하지 못했던 문제들이 꾸준히 발견되어 왔다. 의료기기가 공격당할 때, 이를 사용하는 환자의 생명은 장담할 수 없게 된다.

이를 방지하기 위해, 과학기술정보통신부와 한국인터넷진흥원에서는 '디지털 헬스케어 보안모델'을 발간하였다. '디지털 헬스케어 보안모델'은 2개의 파트로 구성되어 있는데, PART I에서는 의료기기를 PART II에서는 서비스 유형별로 보안 모델을 제시하였다.

PART I 의료기기편의 주요 내용으로는

배경 및 목적

디지털 헬스케어 서비스 모델에서는 기기의 역할에 따라 분류하였고,

디지털 헬스케어 보안위협에서는 인증 및 허가 유형, 암호유형, 데이터보안 및 안전한 통신 유형, 안전한 기기관리 및 물리적 보호 유형으로 나누어 설명하고 있다.

디지털 헬스케어 기기 보안요구사항에서는 보안요구항목 및 보호대책에 대해 설명하고 있다.

PART II 서비스 유형별의 주요내용으로는

배경 및 목적

디지털 헬스케어 구성요소 및 보안모델 개념에서는 의료기기 보안 모델과 서비스 모델 모델 프레임 워크에 대해 설명하고 있고,

디지털 헬스케어 서비스 유형 분류에서는 서비스 유형 분류 프레임워크 및 서비스 그룹 정의, 디지털헬스케어 서비스에 대해 설명하고 있다.

디지털헬스케어 서비스 보안위협에서는 사용자 인증, 암호화, 데이터 보호, 접근통제, 소프트웨어 보안, 보안기능에서의 다양한 보안위협에 대해 설명하고 있다.

디지털 헬스케어 보안 요구사항에서는 디지털 헬스케어 서비스 전체에서 요구하는 보안 요구사항에 대해 나열하고, 각 유형별로 설명하고 있다.

해당 파일들은 한국인터넷진흥원의 홈페이지에서 다운로드할 수 있는데, 기존에는 요약본 하나에 설명되어 있던 것을 22.4.26일에 파일 2개로 다시 게시하였다. 이번에 공개된 파일 2개의 디지털 헬스케어 보안모델도 '요약본'으로 표기되어 있어서 좀 더 자세한 디지털 헬스케어 보안모델이 공개될 것으로 전망된다.

아래의 파일은 기존에 공개된 요약본 파일이다.

목차

제1장 가이드라인의 개요
1. 배경 및 목적
2. 가이드라인 구성

제2장 개인정보 처리단계별 조치기준
1. 개인정보보호 개요
2. 개인정보의 수집
3. 개인정보의 이용
4. 가명정보 처리
5. 개인정보의 제3자 제공
6. 개인정보의 위탁
7. 영상정보처리기기의 설치 및 운영
8. 개인정보의 안전성 확보조치
9. 개인정보의 파기
10. 개인정보 처리방침의 수립 및 공개
11. 개인정보 보호책임자 지정 및 개인정보취급자에
대한 감독
12. 정보주체의 권익보호
13. 피해 구제방법

제3장 약국의 개인정보보호 조치사항
1. 개인정보보호 필수조치사항
2. 안전한 개인정보 처리방안
3. 소형약국
4. 대형약국
5. 내부직원의 개인정보보호
6. 약국의 적용법령 및 주요 조치사항

참고
1. 표준서식
2. 약국분야 관련 법령

출처 : 개인정보보호 포털(privacy.go.kr) > 자료마당 > 지침자료

목차

제1장 가이드라인의 개요
1. 배경 및 목적
2. 가이드라인 구성

제2장 개인정보 처리단계별 조치기준
1. 개인정보 개요
2. 개인정보의 수집･이용
3. 가명정보의 처리
4. 개인정보의 제3자 제공
5. 개인정보 처리 업무위탁
6. 영업의 양도
7. 영상정보처리기기의 설치･운영
8. 개인정보파일의 등록(공공기관에만 적용)
9. 개인정보의 안전성 확보조치
10. 개인정보의 파기
11. 개인정보 처리방침의 수립 및 공개
12. 개인정보 보호책임자 지정
13. 정보주체의 권익보호
14. 피해 구제방법

제3장 환자의 개인정보 처리기준
1. 진료 신청과정에서 환자의 개인정보 처리기준
2. 진료과정에서 환자의 개인정보 처리기준
3. 처방과정에서 환자의 개인정보 처리기준

출처 : 개인정보위원회 > 자료마당 > 지침자료

최근 네트워크 기반의 의료기기 및 의료정보시스템의 증가와 인공지능, 빅데이터 등 최첨단 기술이 빠른 속도로 의료기관 내외의 각종 관련 시스템에 도입됨에 따라, 환자정보를 포함한 민감한 개인정보가 수집・유통・활용되고 있다. 이에 따라 의료기관 및 의료정보를 대상으로 하는 사이버 공격의 위협이 급증하고 있다. 실제 최근 2017년 5월에 발생한 워너크라이(Wanna Cry) 랜섬웨어 공격으로 영국의 ‘국민건강서비스(NHS)' 산하 40여 개의 병원 PC가 감염되어 모든 의료서비스가 중단된 사태는 의료기관의 정보보호 취약성과 위험성을 단적으로 보여주는 예라고 할 수 있다.

의료기관에 사이버 침해사고가 발생하여 진료서비스가 중단되거나 의료기기의 오작동이 발생하면 환자의 생명과 건강에 치명적인 손상이 발생할 수 있다. FDA는 2017년 1월 세인트주드메디컬(SJM) 사의 몸속에 이식하는 심장박동기에서 배터리를 단시간에 소진시키거나 심박수를 위험수준까지 급상승시키는 오작동을 발생시킬 수 있는 보안취약성을 발견했다고 발표하였다. 이미 전 세계적으로 수십 만 대가 보급되었던 해당 제품에 대한 보안 경고는 의료기기의 사이버공격의 위험성에 대한 경각심을 불러일으키는 계기가 되었으며 최근 50만대의 리콜 조치가 이뤄지는 등 현재까지 후속조치가 이어지고 있다. 

현재 의료기관에서는 보안패치와 업데이트가 불가능할 정도로 노후화된 의료기기와 네트워크 기반의 최첨단 의료기기 및 의료정보시스템이 공존하면서 운용되고 있다. 규모나 특성, 용도가 다양한 수 만대의 의료기기들이 현황파악도 되지 않은 채로 IT 담당자는 물론 의료기기 담당자의 관리 범위 밖에서 가장 취약한 잠재적 공격면(attack surface)으로서의 위험성을 내포하고 있다. 
미국 등 선진국에서는 2010년 10월부터 IEC 80001 시리즈를 통해 IT 네트워크와 의료기기가 통합되는 의료 환경에서 급격하게 증가하는 중요시스템 관련 위험을 의료제공자 및 의료기관이 적절하게 관리할 수 있는 가이드를 국제표준으로 개발하고 있다.
의료분야의 사이버보안에 대비한 국제표준 활동이 활발한 데 비해 국내 의료계의 현실은 예산 및 인력 부족과 기술적 지원 미비, 보안인식 부재 등으로 인하여 정보보호 관점에서 전반적인 의료기기 실태조사가 부재하고 의료기관의 보안을 내재화 할 수 있는 일관성 있는 정책이나 지침이 부족한 형편이다. 
따라서 본 보안 가이드 개발을 통해 지능화되고 고도로 발전하고 있는 의료기관의 사이버 보안 위협을 소개하고 대비할 수 있는 대응방안을 제시하고자 한다. 


1장 개요
1. 배경 및 목적
1.1 스마트의료 보안 현황
1.2 가이드의 목적
1.3 가이드의 구성
2. 적용 범위

2장 스마트의료 구성 및 보안위협
1. 스마트의료 구성
1.1 스마트 의료기기
1.2 스마트의료 게이트웨이
1.3 스마트의료 네트워크
1.4 스마트 의료정보시스템
2. 스마트의료 보안위협
2.1 스마트의료기기 보안위협
2.2 의료 게이트웨이 보안위협
2.3 스마트의료 네트워크 보안위협
2.4 의료정보시스템 보안위협

3장 스마트의료 보안 대응 방안
1. 스마트의료 보안위협별 대응방안
2. 대응방안
2.1 사용자 접근통제 및 인증
2.2 패스워드 및 암호화 키 관리 방안
2.3 의료기기 임베디드 보안
2.4 데이터 보호 
2.5 게이트웨이 보안  
2.6 악성코드 감염 방지 
2.7 이동식 저장매체(USB 등) 보안  
2.8 소프트웨어 보안패치  
2.9 시큐어코딩 
2.10 네트워크 보안
2.11 무선 네트워크 보안
2.12 망분리

2.13 의료기기 보안성 검토 
2.14 감사로그 기록 및 관리

부록
부록1 의료기기 구매 시 검토 사항 - Mayo Clinic 예
부록2 국내외 의료기기 보안가이드 현황 
부록3 의료기기 정보보호 관련 국제표준 비교
부록4 전자의무기록 서식지의 의료정보
부록5 용어정리 
부록6 참고문헌

출처 : KISA

MPIS 2017 AGENDA 프로그램

1-[MPIS2017]정보보호관리체계(ISMS)인증 대응방안-한기태 건국대병원.pdf

2-[MPIS2017] 가시성 확보와 머신러닝, 지능형 위협 대응의 시야를 넓히다-안랩_안병무.pdf

3-[MPIS2017]의료정보스템, 혁신적 오픈소스 도입과 보안을 말하다-레드햇-천상진부장.pdf

5-[MPIS 2017] 의료기관을 위한 통합 IT외주관리 방안-좋을.pdf

6-[MPIS2017]디지털 핼스케어 비즈니스를 위한 정보 보안 전략-IBM 박형근 실장.pdf

7-[MPIS2017]의료기관 최신 APT 및 랜섬웨어 대응방안_엔피코어.pdf

8-[MPIS2017]정보유출의 87%는 이메일! 의료기관 메일보안 전략-다우기술.pdf

9-[MPIS2017]머신러닝에 기반한 차세대 위협감지 분석 기술-삼성SDS.pdf

10-[MPIS2017] 개인정보 및 중요문서의 효율적인 문서중앙화 전략_지란지교시큐리티_홍진영 부장.pdf

11-[MPIS2017]의료기관 개인정보보호법 준수를 위한 기술적 관리적 보호조치 방안-KISA 김호성 단장.pdf

출처 : http://conf.dailysecu.com/conference/mpis/2017.html