기존 안티바이러스·방화벽 사용 수준→PC보안 및 IPS로 강화
내부 보안규정 및 보안관리체계 수립 노력 진행 중
가톨릭대학교 강남성모병원
2009년 1200병상 규모의 병원 신축을 앞두고 있는 강남성모병원은 최근 중장기 정보화 전략 마련을 위한 ISP에 착수하고 그 결과에 따라 9월경부터 신 시스템 구축 프로젝트를 본격 진행할 예정이다. 이 ISP는 강남성모병원만이 아니라 가톨릭의료원 직할 3개 병원(강남/여의도/의정부성모병원)의 전산 환경과 조직(운영체계)이 모두 포함된다. 강남성모병원은 이밖에도 올해 스토리지 및 백업솔루션 교체/도입, 모바일 시스템 시범사업, 보안솔루션 도입을 주요하게 추진하고 있다.
그동안 안티바이러스와 방화벽을 운영하며 초보적인 보안체계를 수립해왔으며, 올해 PC단과 네트웍단 보안을 확대 강화한다는 계획이다. PC단에서는 자동 패치관리를 위한 PMS와 PC의 네트웍 사용자 인증체계(인가된 PC만 네트웍 접근 허용)를 세우고 무선 네트웍에 사용자 인증시스템을 구축할 예정이다. 또한 보안 예산을 추가 확보해 하반기나 내년 중 IPS/IDS 시스템을 도입할 방침이다.
강북삼성병원
웹 환경 시스템 도입, 모바일(무선 랜) 시스템 구축, 하반기 EMR 추진(테스크포스팀 구성)과 함께 올 정보화 추진 주요 계획으로 보안 시스템 보강 작업을 진행하고 있다.
보안 강화를 위한 솔루션 도입은 총 3단계로 진행되며, 현재 내부 보안규정 등 보안관리체계 마련과 보안시스템 운영절차 수립(1단계)과 함께 우선순위의 솔루션 도입(2단계)을 진행하고 있다.
우선적으로 방화벽 통합 제품(기존 시스템 이중화)과 IPS, 로그관리, PMS 솔루션 도입을 추진하고 있으며, 6월 중순 테스트를 마치고 구매 단계에 이르렀다. 이에 앞서 강북삼성병원은 한국전자인증의 인증시스템을 도입해 홈페이지의 인증 및 접근제어를 도입했다.
또한 6월 중순 누리웹과 계약해 취약점 분석/관리, 개인정보 암호화 등 보안서비스를 받을 예정이다. 삼성그룹망을 사용해 그룹 망에서 1차로 외부에서 들어오는 보안체계가 마련되어 있으며, 병원 자체적으로도 보안 투자를 하면서 2, 3중 보안체계를 가져가고 있다. 지난해까지 연 2회 SDS로부터 원내 정보보안 감사를 받았으며, 올해부터는 연 1회 실시한다. 병원 주요 정보보호를 위해 내부 규정에 따라 서버 및 네트웍에 대한 IP접근제어, DB 접근제어관리, 방화벽 허용정책 관리 등을 진행하고 있으며, 향후 DB암호화 솔루션을 도입해 DB 내 데이터 보안을 한층 강화할 방침이다.
고려대학교의료원(안암/구로병원)
PACS/영상EMR 안정화, 보안 시스템 보강 및 정착, 직원 정보화 교육을 올 주요 정보화 추진계획으로 삼고 보안 투자를 적극적으로 진행하고 있다.
특히 보안 분야는 CIO의 투자 의지가 높아 작년부터 준비해 IPS와 스팸메일차단 시스템, IP관리/차단 시스템, 자동 패치/자산관리 시스템을 검토, 현재 구매 단계(7~8월 중 구축 완료)에 있다. 현재 강화된 내부 보안규정/지침안을 만들고 있으며, 하반기 직원들에 배포해 보안 인식과 실천을 높일 계획이다.
환자정보 보호를 위해 OCS 시스템에 패스워드를 ID카드화해 관리하고 있다.
고려대학교병원은 2002년 의료원 차원에서 구로, 안산병원과 정보전산실을 통합해 안암병원(정보전산센터)에서 운영하고 있다. 이에 따라 모든 의료정보시스템을 표준화해 하나로 통합했으며, 네트웍과 서버 등 하드웨어 시스템을 교체하고 현재까지 운영하고 있다. 고대병원은 올해까지 향후 텍스트 EMR 구축을 위한 과도기로 삼고 시스템 안정화에 매진하고 있다.
정보기술센터인 안암병원뿐 아니라 구리, 안산 병원에도 네트웍 경계와 내부 PC에 보안 시스템을 설치해 운영 중이며, 안암과 구리/안산 병원 길목에도 IPS를 새로 설치할 예정이다.
관동대학교 의과대학 명지병원
종합의료정보시스템 안정화 사업에 주력하고 있는 명지병원은 보안 정책 수립과 외부 침입방지 체계 강화, 비상시 대처 요령에 대한 재해복구 계획 마련에 나서고 있다.
클라이언트와 네트웍의 보안정책 강화 차원에서 안티바이러스 통합보안 솔루션과 방화벽을 운영하고 있으며, 서버에서의 접근권한 정책과 클라이언트 암호화 체계, 애플리케이션 접근 로그 모니터링으로 초보적 단계의 보안체계를 세웠다.
올해에는 IPS를 도입해 외적인 유해 요소에 대한 방어체제를 강화하고 내적인 유해 요소에 대한 보안 정책을 수립, 적용함으로써 전반적인 보안체계를 한층 강화할 방침이다.
국민건강보험공단 일산병원
40억원의 예산을 투입해 10월 말까지 신 종합의료정보시스템 구축 프로젝트를 진행하고 있다.
네트웍 업그레이드를 위한 장비 교체, 주요 서버 교체 및 DW 재구축, 스토리지 및 백업 시스템 통합 등 대대적인 작업을 진행하고 있는 일산병원의 이번 프로젝트에는 물론 보안 투자도 비중 있게 이뤄지고 있다.
그동안 안티바이러스와 방화벽을 운영하고 있던 체제에서 통합 정보보안시스템을 구축한다는 목표 아래 방화벽을 교체와 바이러스월 도입, IP관리 시스템과 위협관리시스템(TMS) 도입을 진행하고 있다.
이를 통해 보안시스템의 고성능과 안정성을 확보할 뿐만 아니라 총체적인 사이버 위협에 대한 관제 및 대응/방어 시스템을 구축한다. 내년에는 DB보안과 애플리케이션 보안을 추진할 계획이다.
분당서울대학교병원
환자 내원에서 처방까지 모든 업무가 완전 정보시스템화 되어 슬립이나 차트, 종이, 필름 없이 진료가 이뤄지는 '디지털 병원'으로 알려진 분당서울대병원은 그에 맞는 보안 투자를 꾸준히 진행하고 있다. 올해 안정적인 시스템 운영과 꾸준한 IT신기술 적용 검토와 함께 통합보안체계 구축을 올 IT 핵심과제로 설정했으며, 이에 따라 기존 신규 시스템 도입으로 기존 보안체계 강화, 내부 보안규정 및 사용자 지침 개편/강화를 추진하고 있다.
보안시스템으로는 안티바이러스와 방화벽(인터넷/내부망/무선랜 존), IDS를 운영해왔으며, 최근 스팸메일 차단 솔루션과 IP/MAC 통제 시스템, 통합 정보자원관리 솔루션, 웜 확산 방지를 위한 PC 방화벽 솔루션 등을 도입해 클라이언트/서버단 보안 체계를 강화했다. 뿐만 아니라 웹 DRM 솔루션을 도입해 EMR 웹 화면상에서 환자정보가 유출되지 않도록 웹 단속에도 나섰다. EMR 시스템에 SSO(싱글사인온)과 공인인증서를 적용해 전자 의무기록에 대한 사용자 인증과 접근제어 및 권한관리, 모니터링 및 조회 로그 저장으로 인한 감시 및 추적 체계 또한 마련해놓고 있다.
분당서울대병원은 현재 보안컨설팅전문업체인 에이쓰리시큐리티컨설팅과 계약해 전문 컨설턴트가 주기적으로 시스템 및 네트웍 전반의 보안 취약점 점검과 모의해킹을 실시하고 문제를 해결하고 있다.
또 개원 시부터 의료정보담당 교수, 의료정보팀 내 직원 등으로 보안 인력을 운영하고 있다. 직원들의 내부 보안의식 강화를 위해 자체 시스템 관리자의 내부보안 규정을 매년 갱신하고 있으며, 올 하반기 중 현재 제작 중인 사용자 보안지침 요약본을 배포할 방침이다.
삼성서울병원
올해 2010년 '아시아 최고 병원'이라는 비전을 세운 삼성서울병원은 올해 이 비전을 달성을 위한 준비단계로 장기적인 정보화전략계획(ISP) 수립에 착수했다. 이는 병원뿐 아니라 2007년 완공 예정인 암센터를 포괄한다.
또한 현재 입원 병동에만 적용되어 있는 EMR을 외래 및 수술실에까지 확장, 구축하는 작업을 진행하고 있으며, 2차 PACS 시스템 구축과 함께 하반기 완료될 성과평가를 위한 ABC 시스템 개발도 시작했다. 최근 무인수납시스템을 오픈했으며, 7월 초 오픈을 계획하고 있는 모바일 진료서비스를 위한 mSMIS(mobile Samsung Medical Infomation System)를 준비하고 있다.
보안 분야에서는 방화벽 이중화와 안티스파이웨어, 보안 자가 진단을 위한 취약점 분석 스캐너 도입을 예정하고 있다.
또한 확장될 모바일 진료시스템에 복합 인증(ID/패스워드, 폰넘버 체크)과 데이터 암호화를 적용할 계획이다.
현재 삼성 그룹망을 사용하고 있는 삼성서울병원은 그룹 차원에서 외부 침입에 대한 1차 방어체제를 이미 구현했으며, 내부 병원 망에서도 안티바이러스와 방화벽, IDS를 별도 운영하고 있다. 그룹 정보보안센터의 보안 기준을 적용할 뿐만 아니라 통합 보안 관제서비스를 받고 있으며, 내부 망과 사이버 인터넷 망에 연3회 주기적으로 보안 감사를 받고 있다. 또 병원 자체적으로 매월 4일을 '안전보안 점검의 날'로 지정해 보안 및 안전 점검을 실시하고 있다.
웹 보안을 위해 업무관련 페이지에 SSL(Secure Socket Layer)을 적용했으며, MIS와 EMR에 공인인증서 기반 인증과 PKI 기반의 전자서명 및 암호화를 실시하고 있다. 특히 EMR에는 RBAC(역할 기반 접근제어)에 의거해 사용자 역할별 접근 메뉴를 차별화해 접근제어 및 권한관리를 실시하고 있다. 또한 주요 정보 조회/출력 시 사용자와 조회 시간, 조회 IP 등의 기록을 남겨 정보유출에 대비하고 있다.
서울대학교병원
2003년부터 2년간 280억원이라는 대규모 IT예산을 투입하면서 네트웍과 시스템을 개편하고 EMR 구축까지 완료한 서울대병원은 현재 시스템 안정화에 주력하고 있다.
보안 분야 또한 지난해 인터넷 2차 확장(보안시스템) 구축 프로젝트를 진행하면서 바이러스/침입 차단시스템과 스팸메일 차단 솔루션, PC보안, 문서 및 웹의 정보유출방지 시스템 등 보안시스템을 대거 구축해 네트웍 및 시스템 단의 내·외부 방비체계를 마련했다.
가장 중요한 환자의 진료기록과 처방 정보를 보호하기 위해 EMR 시스템에 전자서명을 도입하고 데이터를 암호화 하며, 인증카드를 사용한 인증 및 권한관리로 전자서명된 데이터의 위변조를 방지하고 있다.
서울대병원은 지난해 6월 전국 국립대병원과 연세의료원, 서울아산병원, 삼성서울병원 등 12개 병원과 함께 의료정보윤리헌장 선포식을 갖고 개인정보보호에 대한 윤리와 책임을 선포하기도 했다.
서울아산병원
현재 CRM 시스템 구축, OCS 시스템 교체 및 수정과 함께 현재 병동에만 적용되어 있는 EMR을 내년 외래 파트에도 확장하기 위한 준비를 진행하고 있는 서울아산병원은, 이와 함께 정보통신망 구축 프로젝트를 개시, 대대적인 네트웍 장비 교체와 보안 체계 수립에도 나서고 있다. 지난해 시스템 전반에 대한 취약점 점검 보안 컨설팅을 받았으며 PC단 보안 체계 강화를 위해 개인(PC) 방화벽과 PMS 시스템을 도입했다.
현재 네트웍 망을 개편하면서 네트웍 보안체계 기반을 확립하기 위해 IPS, ESM 도입을 추진하고 있다.
이의 설치를 완료한 후에는 전사적인 보안 체계를 마련하기 위해 자체적으로 보안 마스터플랜을 수립하고, 이후 이를 검증받기 위한 보안 컨설팅을 계획하고 있다. 이밖에도 현재 위기관리 테스크포스(TF)팀을 구성해 사고가 터졌을 때만이 아니라 평소에 사전 대처할 수 있는 위기관리시스템을 구축, 가동할 수 있는 작업을 진행하고 있다.
순천향중앙의료원(부천/서울병원)
순천향병원은 현재 의료원 전산실을 부천병원에서 통합 운영하고 있다. 정보화 전략기획 및 개발과 통합 관리를 부천병원에서 담당하고 서울과 천안병원에는 OCS 및 PACS 등 시스템 운영 인력만 파견되어 근무하고 있다.
현재 영상EMR 구축을 추진하고 있으며, 현재 운영 중인 OCS 서버 교체와 프로그램 변경, 데이터 이관 작업을 진행할 예정이다. 최근에는 유비쿼터스 병원 구현 일환으로 WAMIS(Wide Area Medical Information System ; 광역의료정보시스템) 시스템을 기반으로 OCS와 연결해 의사들이 집에서도 PC만 있으면 응급환자 정보를 볼 수 있도록 구현한 웹 시스템을 개발했으며, 내년 초 정식 오픈할 예정이다. WAMIS는 지역병원과 진료 예약부터 진료 및 검사, 처방 정보를 공유할 수 있는 시스템이다.
보안 분야로 부천병원은 최근 다양한 위협에 대처하기 위해 기존에 운영해온 방화벽을 통합보안 시스템으로 교체했다. 이 솔루션은 바이러스와 웜, 스팸메일을 차단하며 방화벽과 IPS, 통합보안관리 기능까지 모두 제공하고 있어 순천향병원은 기능과 운영관리에 만족스러워하고 있다. 또한 사용자 PC에 애드웨어 차단 및 백신 소프트웨어도 설치 운영하고 있다.
올해 보안컨설팅을 계획했으나 현재 보류된 상황이고 자체적인 보안체계 수립과 담당자 보안교육을 실시할 예정이다.
환자정보 보호를 위해서는 아이디와 패스워드를 이용한 사용자별 접근제어를 수행, 관리하고 있다. 서울병원은 현재 안티바이러스 통합보안관리 소프트웨어와 방화벽을 운영하고 있다.
이화여자대학교 의과대학 부속 목동병원
현재 동대문병원과 센터 개념의 시스템 통합을 검토하고 있으며, 올 9월 완료를 목표로 지역 1차 병원과 협력하는 진료의뢰시스템(REFER) 구축을 진행하고 있다. 이 시스템에는 인증 및 암호화 보안 솔루션을 적용하게 된다.
보안시스템으로는 안티바이러스와 방화벽, IDS를 99년부터 단계적으로 도입, 운영해왔으며 지난해 IPS를 도입해 웜, 바이러스 등 외부 보안 체계를 강화했다.
인제대학교 백병원(상계/일산병원)
백 중앙의료원 차원으로 테스크포스(TF)팀을 구성해 현재 EMR과 ERP 개발, 닷넷 기반의 웹 환경 전환 등 정보화 추진계획을 세우고 기획 단계에 들어갔다.
이 기획에 따라 전체 신 시스템 구축에 들어갈 것으로 보이며, 웹 환경 전환으로 인한 보안 리스크 증가로 인한 보안 투자 계획과 EMR 구축 시 전자서명 도입을 함께 진행할 것으로 예상된다.
백병원은 대규모 시스템 도입 등 특별한 경우를 제외하고는 병원마다 별도로 시스템 투자 및 관리를 하고 있는데, 일산백병원은 외부침입 방비 체계 강화 요구는 있으나 현재 비용 문제로 IPS 등 추가 시스템은 미루고 현재 운영 중인 안티바이러스와 방화벽, 스팸차단 솔루션을 최대한 활용하고 있다.
상계백병원도 안티바이러스와 방화벽을 운영하면서 웜이나 바이러스에 의한 공격 대비를 위한 내부 관리 체계를 강화하고 있다.
중앙대학교병원(중앙대병원)
올 초 흑석동에 중앙대병원을 신축하고 신 의료정보시스템을 구축하고 있으며, 올 8월 OCS와 EMR을 자바 기반 웹 시스템으로 오픈할 예정이다.
현재 PC에 안티바이러스와 네트웍단에 방화벽과 IDS를 운영하고 있으며, 시스템 오픈 후 IPS와 PC방화벽을 도입해 네트웍과 클라이언트 보안 시스템을 강화할 계획을 세우고 있다.
한국보훈의료복지공단 서울보훈병원
지난해 통합의료정보시스템 프로젝트로 서울, 부산, 대전, 대구, 광주 5개 병원의 IDC 통합 센터에 DRS과 EDW 시스템을 구축, 올 5월 완료한 서울보훈병원은 현재 이 백업 시스템을 이용해 병원 간 환자정보(진료 및 검사 결과)를 공유할 수 있는 시스템을 개발하고 있다.(7월 1일 적용) 그리고 올 하반기부터는 EMR 구축 작업을 본격적으로 추진한다.
5월 말 보안컨설팅전문업체 인포섹으로부터 보안컨설팅을 받았으며, 이 결과에 따른 보안 분야의 시스템 보강도 추진하고 있다.
우선적으로 6월 중 IPS와 PC보안 솔루션을 도입하기 위한 BMT를 실시하고 조만간 도입할 예정이며, 향후 PMS, DB보안 솔루션 등을 추가 검토할 방침이다.
현재 안티바이러스와 방화벽/IDS 통합제품을 사용하고 있으며, 지난해 서버보안 제품을 도입해 운영하고 있다. 내부 정보보호를 위해 서버보안 제품과 함께 처방과 검사결과 부문에 증권전산의 공인인증 시스템을 적용했다.
향후 EMR 구축 계획에 따라 한층 강화된 내부 정보유출 방지 계획을 마련할 예정이다.
한림대학교의료원
지난해 11월 강동, 강남, 평촌, 한강성심병원 등 각 병원의 IT자원과 조직(인력)을 의료원 정보기술센터로 통합한 한림대병원은 지난해 ISP를 시작으로 현재까지 통합시스템(종합의료정보시스템) 구축 작업을 진행하고 있다.
MIS, 그룹웨어, DW, DL(Digital Library), CHP(Cyber Hospital Partal), ABC, CRM 10개 시스템 개발을 완료해 올 8월 가오픈을 거쳐 2006년 4월 정식 오픈할 예정이다. 이 중 DL과 그룹웨어는 이미 오픈했으며, 외래와 입원 병동의 EMR(OCS와 통합) 적용도 완료했다.
보안 분야에서는 현재 OCS와 EMR 시스템에 한국증권전산의 PKI 기반 통합 인증 및 권한관리 시스템을 도입해 테스트를 완료했으며 올 8월부터 적용할 계획이다.
이에 앞서 지난해 11월에는 기존에 운영해온 안티바이러스와 방화벽을 보강하기 위해 이메일 보안 시스템과 PC관리시스템(패치배포/복구), L7스위치, IPS를 도입했다.
한양대학교병원
지난해 하드웨어 시스템을 보강하면서 지난해 보안 시스템도 함께 교체, 보완했다. 방화벽을 제외하고 현재 사용하고 있는 백신과 IPS, 스팸메일 차단시스템, 서버보안 솔루션, PC관리 시스템 등은 모두 지난해 도입한 것.
한양대병원의 네트웍은 대학망의 방화벽에서 1차적으로 유해 트래픽이 걸러진 후 병원 망에 연결되는 구조로 되어 있음에도 불구하고, 재작년 10월부터 웜 감염에 의한 네트웍 장비 부하율이 높아지고, 외부 컴퓨터 사용 등으로 바이러스를 내부 유입시키는 현상이 빈번하게 발생하면서 이에 대한 해결책을 고안한 것이다.
한양대병원은 네트웍 안정화를 위한 초보단계의 보안투자로 이상 네트웍 트래픽을 유발하는 바이러스나 웜을 차단하는 네트웍 보안 시스템과 클라이언트단의 보안관리 체계가 마련되었다고 판단하고, 병원 내 서버의 중요 데이터를 보안하기 위해 서버보안 시스템까지 설치했다. 즉, 클라이언트에서부터 네트웍, 서버단의 주요 접점 장비별 대책을 수립한 것이다.
올해 주요 IT추진 계획으로는 OCS와 PAC를 사용하고 있는 ATM 네트웍 망을 기가비트로 교체하기 위한 투자와 EMR 계획안을 수립하고 있다. 이러한 네트웍 투자 또한 보안과 무관하지는 않다.
디지털화된 환자 정보나 내부 업무용 데이터를 보호하기 위한 내부보안 체계는 현재 서버보안 외에 별도의 전문 보안시스템을 설치해놓지는 않았지만, 고유의 프로그램 개발 기법으로 원내 직원의 직무별 역할별 사용 프로그램을 다르게 만들어 사용하고 있으며 기본적으로 ID/패스워드 관리를 수행하고 있다.