RESOURCE | 컴플라이언스|  병원정보시스템 보안가이드라인 대응 가이드

HIS(병원정보시스템) 보안가이드라인 대응 가이드

  • HIS와 보안가이드라인에 대한 이해

    • HIS(병원정보시스템)이란 무엇일까?

    병원정보시스템(HIS, Hospital Information System)은 병원의 의료, 행정, 재정 등 전반적인 운영 정보를 통합적으로 관리하기 위해 설계된 정보 시스템입니다.

    HIS는 OCS(처방전달시스템), EMR(전자의무기록), PACS(영상저장전송시스템), LIS(검사정보시스템), 보험청구시스템 등 다양한 모듈로 구성되어 병원 내부 정보를 체계적으로 통합하고 공유할 수 있도록 지원합니다.

    대한민국에서는 1990년대부터 대형 병원을 중심으로 HIS 도입이 본격화되었습니다. 초기의 HIS는 개별 병원 단위로 구축되어 타 병원과의 정보 연계가 어려웠고, 주로 환자 등록이나 진료 예약과 같은 행정 업무에 초점이 맞춰져 있었습니다. 이후 국내 병원정보화의 현황에 대한 연구가 꾸준히 이루지며 의무기록관리, 처방전달시스템 등이 본격적으로 도입되기 시작하였습니다.

    2000년대 중반부터는 보건복지부 주도로 국가 차원의 의료정보 표준화가 추진되었으며, 건강보험심사평가원(HIRA)을 중심으로 진료정보교류사업이 시작되어 병원 간 정보의 상호운용성이 크게 강화되었습니다. 이러한 정책적 노력은 의료기관 간의 정보 연계를 활성화시키는 데 중요한 역할을 하게 되었습니다.

    2010년대 이후에는 기술의 발전과 함께 클라우드 기반 HIS 도입이 확대되었고, 보다 안전하고 효율적인 시스템 운영이 가능해졌습니다. 대표적인 예로, 과학기술정보통신부와 보건복지부는 2017년부터 5년간 4차 산업혁명에 대응하기 위한 국책사업으로 P-HIS를 추진하였으며, 고려대의료원에 최초 도입되어 운영 중입니다.

    이처럼 오늘날 대부분의 상급종합병원을 포함한 중대형 의료기관들은 HIS를 적극적으로 도입 및 활용하고 있으며 이는 환자 안전 향상, 병원 운영의 효율화, 의료 서비스의 질적 향상에 크게 기여하고 있습니다.

     

    HIS(병원정보시스템) 보안 가이드라인

     

    | 병원정보시스템 보안가이드라인이란 

    급속도로 발전하는 IT 기술의 의료시스템 도입으로 의료 데이터의 활용성과 의료 서비스의 품질은 향상되었으나, 그에 따라 병원정보시스템의 운영 환경은 더욱 복잡해지고 보안 위협 또한 증가하고 있습니다.

    의료데이터는 ‘건강 정보’ 및 ‘유전 정보’를 포함하는 고도의 민감정보입니다. 하지만 2020년 이후 2024년까지 총 91건의 진료 정보 침해사고가 발생하였으며, 진료 정보 외의 정보 침해사고도 129건에 달합니다. 이러한 사이버 침해사고가 지속적으로 발생하는 주된 원인으로, 상대적으로 보안에 취약한 현행 의료법이 지적되고 있습니다. 그 예시로 현행 의료법 제23조는 의료기관이 전자의무기록(EMR)을 안전하게 관리·보존하기 위한 시설과 장비를 갖추도록 규정하고 있으나, 구체적인 보안 조치에 대한 명확한 기준은 제시하고 있지 않습니다.

    이에 따라 국가정보원은 2025년 4월 3일, 의료기관의 정보보호 수준을 강화하기 위한 「병원정보시스템 보안 가이드라인」을 새롭게 제정하였습니다. 본 가이드라인은 HIS(병원정보시스템)를 보유·운영하는 모든 병원이 반드시 준수해야 할 보안 수칙을 담고 있으며, 보안 사고, 개인정보 유출, 관리 소홀 등으로 인해 관련 법령 위반이 발생할 경우 실질적인 행정처분 또는 형사 책임으로 이어질 수 있는 ‘사실상 필수 준수 기준’으로 기능합니다.

     

    병원정보시스템 보안가이드라인의 구성

    병원정보시스템 보안가이드라인 크게 네트워크 보안대책, 시스템 및 애플리케이션 보안대책, 관리적 보안대책으로 나뉩니다.

    • 네트워크 보안대책 : 각 연계 구간별 특징을 고려하여 적용해야 할 보안대책 제시
    • 시스템 및 애플리케이션 보안대책 : 데이터 무결성과 시스템 안정성 유지를 위한 보안대책 제시
    • 관리적 보안대책: 병원정보시스템의 안전성과 연속성을 보장하기 위한 보안대책 제시

    출처: 이승덕, “의료기관 해킹 등 사이버 침해사고 200건 넘어”,의학신문 ,2024. 10. 03

  • HIS 보안가이드라인이 요구하는 핵심 사항

    • | 병원정보시스템 보안가이드라인 요구사항

    가이드라인의 세부 보안대책은 총 11가지 항목으로 구성되어 있으며, 이는 의료기관이 자체적으로 보완 가능한 영역과 외부 보안 솔루션의 도입이 필요한 영역으로 구분됩니다.
    이 중 9가지 항목은 펜타시큐리티의 보안 솔루션 제품과 함께 효과적으로 대응할 수 있는 영역으로, 의료기관의 정보보호 수준을 실질적으로 강화하는 데 기여할 수 있습니다.

     

     

    HIS(병원정보시스템) 보안 가이드라인

     

    HIS(병원정보시스템) 보안 가이드라인

     

     

    | 병원정보시스템 보안가이드라인 핵심사항 예시

    1. 네트워크 보안대책

    1.1. 네트워크 공통

    • 1.1.1. 네트워크 분리 및 접근제어: 각 네트워크 연결 접점에 정보보호시스템 구성 등

     

    1.2. 연계 구간별 네트워크

    • 1.2.1. 시스템 내 연계 구간: 의료정보시스템, 경영정보시스템 등 각 시스템 내 네트워크 연계 및 보안

    • 1.2.2. 시스템 간 연계 구간: 의료정보시스템, 경영정보시스템 등 각 시스템 간 네트워크 연계 및 보안

    • 1.2.3. 인터넷 연계 구간: 침입차단시스템, IDS/IPS 등 정보보호 시스템 도입, 검증된 망 연계 솔루션 등

    • 1.2.4. 의료기기 및 단말기 연계 구간: 의료기기 데이터 전송 시 암호화 방안 마련 등

     

    1.3. 상세 네트워크

    • 1.3.1. DMZ 구간 구성: 인터넷 연계를 위한 시스템을 분리하여 DMZ 구성, DMZ구간과 병원정보시스템 사이는 접근통제 및 정보 콘텐츠 제한 등

    • 1.3.2. 망 연계 솔루션: 인증 제품(보안기능확인서, CC인증 등) 사용

    • 1.3.3. 네트워크 장비에 대한 안전한 설정: 보안 설정 및 유지관리, 보안 설정 점검, 패스워드 정책 등

     

    2. 시스템 및 애플리케이션 보안대책

    2.1. 시스템 보안대책

    • 2.1.1. 권한 관리: 역할 기반 접근제어, 권한 적정성 검토 및 회수, 시스템 관리자 권한 관리 등

    • 2.1.2. 접근통제: 역할 기반 접근통제, 비인가 접근 차단 등(중요시스템에 정보보호시스템 설치)

    • 2.1.3. 계정 관리: 계정 관리 프로세스, 로그 기록 등

    • 2.1.4. 사용자 인증: 비인가 접근 차단, 세션 타임아웃 등

    • 2.1.5. 노트북 및 모바일 기기 관리: 민감 정보 모바일 기기 사고 대비, 관리 및 통제 방안 등(저장 정보 암호화 및 무선 네트워크 암호화 등)

    • 2.1.6. 정보 유출 통제: 중요 정보는 암호화 저장 등

    • 2.1.7. 기타: 불필요 포트 및 서비스 제거 / 시스템 업데이트 및 보안 패치 등

     

    2.2. 애플리케이션

    • 2.2.1. SDLC 및 SPDL 적용: 애플리케이션 분석·설계 시 사전 보안요건 적용 등

    • 2.2.2. 웹 애플리케이션 취약점 점검: 취약점 점검(SQL 삽입, XSS 등)

    • 2.2.3. 암호화 정책: 중요정보는 암호화를 통해 저장 및 전송, 암호화 대상 식별 및 안전한 알고리즘 사용 등

     

    2.3. 의료기기 및 의료정보

    • 2.3.1. 의료기기 통신 보안: 의료기기 사용 및 통신 시 인증 절차 및 암호화 통신 적용 등

    • 2.3.2. 의료기기 저장 및 연계: 의료정보는 암호화 저장 및 전송 필요, 개인정보 암호화, 외부 연계 및 데이터 공유 등

    • 2.3.3. 제 3자 서비스 수준 계약: SLA 기준에 맞춰 조건 포함 등

    • 2.3.4. 기타: 의료기기 보안성 검토 / 의료기기 보안대책 등

     

    3. 관리적 보안대책

    3.1. 정보보안 정책 및 조직

    • 3.1.1. 정보보안 조직의 역할 및 책임: 단말기, DB, 앱, 서버 등 보호 대상에 기술 보안 적용 등

    • 3.1.2. 기타: 정보보안 정책 수립, 경영진의 책임 등

     

    3.2. 자산 관리

    • 3.2.1. 정보자산 관리 / 취약점 점검 및 위험평가 / 보안대책 수립 등

     

    3.3. 운영 관리

    • 3.3.1. 원격 접속 통제: 외부 네트워크에서 내부 네트워크 직접 접속 원격 차단 등

    • 3.3.2. 로깅 및 모니터링: 장비/서버/시스템 등 에 로그 기록 및 모니터링 수행, 정보시스템별 로그 수집 리스트 등

    • 3.3.3. 기타: 외부 유지보수 관리, 외주 개발 관리 감독 등

     

    3.4. 기타: 물리 보안 / 환자 개인정보 등

  • HIS 보안가이드라인 대응 솔루션

    • 병원정보시스템 보안가이드라인 대응 솔루션

    병원정보시스템 보안가이드라인의 세부 조항에는 네트워크, 데이터, 인증, 개인정보 처리 등 다양한 영역에 대한 기술적·관리적 보호조치가 요구됩니다.

    펜타시큐리티의 WAPPLES, D.AMO, iSIGN 등 솔루션을 통해 각각의 보안가이드라인 조항을 충족 및 대응할 수 있습니다.

     

    HIS(병원정보시스템) 보안 가이드라인

     

     

    Penta Security와 함께 병원정보시스템 보안가이드라인을 준수해요!

    의료기관은 환자 정보의 기밀성과 무결성을 보호하고, 국정원의 병원정보시스템 보안 가이드라인을 따라야 할 법적·윤리적 책임이 있습니다.
    병원정보시스템 보안가이드라인은 네트워크, 애플리케이션, 관리적 측면에서 보안 대응책을 소개하며, 이는 병원정보시스템(HIS)을 운영하는 모든 의료기관이 반드시 준수해야 하는 필수 사항입니다.

    펜타시큐리티는 대형 병원, 의료재단, 공공의료기관 등 다양한 의료 환경에 보안 시스템을 구축한 경험을 바탕으로, 실제 현장에 최적화된 보안 아키텍처 설계와 맞춤형 솔루션 적용을 지원합니다.

    의료기관은 기술적 전문성과 규제 대응력을 동시에 갖춘 펜타시큐리티와 함께 신뢰받는 환자 중심의 디지털 헬스케어 환경을 실현할 수 있습니다.

    지금, 펜타시큐리티와 함께 병원정보시스템 보안 가이드라인을 완벽히 준수해보세요!

     

    함께 보면 좋은 자료

    • 국가사이버안보센터: https://www.ncsc.go.kr:4018/
    • 국가정보원: https://www.nis.go.kr/main.do