6탄-6. 의료 헬스케어 비즈니스를 위한 클라우드 보안
안랩 클라우드 Managed 사업 담당자
의료 헬스케어 비즈니스를 클라우드 상에 구현할 때 보안 고려사항 확인
<1> 디지털 헬스케어 비즈니스 시장 현황
<2> AIRS Medical 회사 소개
<3> AWS와 안랩 클라우드 도입
<4> 전자 의무 기록 EMR 인증 심사
<5> EMR 인증 심사를 위해 사용한 AWS 보안 서비스들
<6> 안랩 컨설팅
<10> 개인 정리
1
시장 현황?
연평균 18.8% 성장. GIA(Global Industry Analysts) 보고서, 매년 20%씩 성장하는군요
시장 규모 2021년 1811억(200조) 달러 , 2027년 5088억(600조) 달러 예상
2
성장 배경?
스마트폰 및 IOT 기반 웨어러블 기기의 성장에 따른 다양한 기업의 시장 진출. 의료 빅데이터 수집.
코로나 19의 영향으로 원격 진료 등 의료 업계 디지털화
정부의 지원 의지?
제3차 클라우드 컴퓨팅 기본 계획 (22~24) // 2021.9월 문서
민간 클라우드를 우선 이용하여 공공 서비스의 혁신 시도.
의료 클라우드 관련 규제?
전자 의무기록 시스템 인증제 인증기준집 , 인증기준 2020, 한국 보건의료 정보원.
의료 클라우드 관련 규제
전자 의무 기록의 의료기관 외의 장소 관리, 보존 가능
전자 의무기록 시스템 인증 제도 인증 기준
<2> AIRS Medical 회사 소개
1
디지털 헬스케어 비즈니스와 클라우드 소프트웨어 메디컬 디바이스 설루션 공급사
진단에 필요한 의료장비의 접근성을 높이는 작업 진행 중.
진단 장비 중 영상 의학을 우선시 다루고 있다.
촬영 시간이 길어 환자와 병원에게 어려움을 주는 MRI의 가속화와 이미지 복원에 집중.
의료 영상 제공.
적은 데이터를 바탕으로 부족한 정보를 추론해 내는 딥러닝 기술을 활용하면 가속 촬영하여 더 적은 raw데이터가 모아졌더라도
변환된 저품질 영상으로부터 정속 촬영한 수준 이상의 고품질 영상을 복원할 수 있다.
2
제품 SwiftMR?
기존에 오래 걸리는 MRI 촬영 시간을 50% 단축시킨다.
최대 1시간 2시간 걸리는 촬영 시간을 단축.
폐쇄 공포증 환자나 아이의 경우 촬영 시간 단축의 효과를 본다.
소프트웨어 형태로 제공하고 있다.
연동은 기존 MR 장비와 의료 영상 저장장치(PACS) 간 1회 ㅇ녀동을 통해 설치가 완료된다.
<3> AWS와 안랩 클라우드 도입
가용성과 보안
24시간 서비스 가용성 보장 필요.
클라우드 보안 구축과 관제 필요
<4> 전자 의무 기록 EMR 인증 심사
1
EMR(Electronic Medical Record) 인증 심사
의료기관 외부 보관 EMR의 인증 심사
2
2021년 6월 발표된 의료기관 외부 보관 EMR 인증심사 안내서 참고.
이 인증심사는 의료법, 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 등 관련 법을 기준으로 하여 평가한다.
3
의료기관 외부 보관 EMR 인증 심사 안내서(2021.06)
개정된 S-014 인증 기준 내용 = 외부 보관 및 클라우드 컴퓨팅 서비스 인증 기준.
4
전자 의무 기록 EMR 인증 심사는 외부 보관 EMR 인증 기준은 EMR 외부 보관 방식에 따라 차이가 있다.
EMR을 의료기관 내 서버실이 아닌 외부 IDC 등 단순히 외부에 보관하는 것인지, 클라우드 기반으로 외부에 보관하는 것인지,
그리고 해당 의료기관이 ISMS-P나 ISO 27017, ISO 27018등 어떤 인증을 보유하고 있는지에 따라 EMR 인증 심사 적용 사항이 달라진다.
우리가 어떤 상태인지 확인 후 , EMR 인증 심사를 준비해야 한다.
<5> EMR 인증 심사를 위해 사용한 AWS 보안 서비스들
1
인증 및 권한 관리
오가니 제이 션, sso , iam , mfa , 시크릿 매니저, 롤
2
접근 통제
보안 그룹, nacl, 실드, WAF , role , config
3
암호화 및 키 관리
kms , encrypted data , data encryption key
4
인프라 및 데이터 보호
inspector , security hub , certificate manager , kms, macie
5
위협 탐지 및 규정 준수
guard duty , cloudtrail , config, cloud watch
6
시스템 및 서비스 운영 관리
cloudformation , system manager , code build , cide commit , code deploy
<6> 안랩 컨설팅
1
가장 먼저 클라우드 컨설팅을 통한 현황 분석을 진행하고, 고객의 조직 구조와 서비스 특성에 맞게 Account를 분리하며, 최소 권한 원칙에 맞도록 접근 권한을 설계한다.
2
고객의 결재방식이나 관리 인원, 서비스 규모 등 사전 현황을 종합적으로 분석하여, 서비스와 업무에 맞춰 최적의 Account 분리 기준을 수립하는 것이다.
3
고객의 요구사항과 보안 GAP분석을 통해 보안을 고려한 TO-BE 아키텍처를 수립한다.
SCP , 그룹 관리함
4
AIRS Medical 보안 강화 사례?
AWS Firewwall Manager , Guardduty 사용
CC 인증을 받은 3rd party WAF 설루션을 이중화 구성하고 기타 보안 설루션과 안랩 보안 관제 서비스를 연계함
랜딩존과 유사한 환경으로 구성하였다.
어카운트와 계정을 잘 분리하고 , 보안을 고려한 네트워크를 설계하라.
<10> 개인 정리
1
전자 의무 기록 EMR 인증 심사는 외부 보관 EMR 인증 기준은 EMR 외부 보관 방식에 따라 차이가 있다.
의료기관 외부 보관 EMR 인증 심사 안내서(2021.06)
2
안랩과 같은 보안 MSP와 같이 협업해서 진행하는 것도 빠른 EMR 심사를 위해 좋은 안)이다.
https://brunch.co.kr/@topasvga/2439
감사합니다.
