[보안뉴스][미리보는 2025 국감-4] 송경희 위원장 앞에 산적한 개인정보보호 과제는?

내용 요약

한국 개인정보보호위원회가 제시한 ‘통제 중심 개인정보 규제’와 ‘공적 목적 데이터 활용’이 의료 기록 열람 로그 관리에 어떤 요구를 부여하는지 살펴보고, 의료기관이 준수해야 할 기술적 조치와 로그 보안 설계 원칙을 정리했습니다.

핵심 포인트

• 통제 중심 규제는 데이터 주체가 아닌 데이터 통제자가 접근·이용에 대한 책임을 명확히 요구합니다.
• 공적 목적 데이터 활용은 의료 데이터를 연구·정책에 활용하되, 익명화·차등 프라이버시 등으로 보호해야 함을 강조합니다.
• 열람 로그 관리는 접근 로그의 완전성·무결성 확보와 장기 보존을 통해 규제 준수와 내부 통제 두 마리 토끼를 잡습니다.

---

기술 세부 내용

1️⃣ 통제 중심 개인정보 규제 (Control‑Centred Personal Data Regulation)

항목	세부 내용
목적	데이터 소유자(주체)와 데이터 관리자(통제자)의 책임 구분을 통해 데이터 처리의 투명성과 책임성을 강화
핵심 원칙	최소 권한(Least Privilege), 필요성 최소화(Data Minimization), 보안성 보장(Security Assurance)
구현 요구사항	1. 정책 정의 – GDPR의 “Right to be Forgotten”, PIPA의 “개인정보 처리방침” 등을 포함한 명확한 보안 정책 수립 2. 통제 체계 – IAM(Identity and Access Management)와 RBAC(Role‑Based Access Control)으로 접근 권한을 정밀히 지정 3. 감사·모니터링 – 실시간 로그 수집, SIEM(Security Information and Event Management) 연동, 비정상 탐지 알고리즘 적용

1.1. IAM & RBAC 설계

• IAM은 사용자 인증, 권한 부여, 인증서 발급 등을 담당합니다. 의료기관에서는 SSO(Single Sign‑On)과 MFA(Multi‑Factor Authentication)를 적용해 비밀번호 기반 위험을 감소시킵니다.
• RBAC는 “의료진”, “간호사”, “행정직원” 등 역할 단위로 접근 권한을 부여합니다. 역할은 최소 권한 원칙에 따라 설계되고, 정기적으로 재검토됩니다.

1.2. 보안 정책 수립

• 보안 표준: ISO/IEC 27001, NIST SP 800‑53, KISA(한국인터넷진흥원) 보안 가이드라인을 참고합니다.
• 정책 문서: 각 의료 데이터 유형(진료 기록, 처방전, 검사 결과 등)에 대한 접근 권한, 보관 기간, 암호화 수준을 명시합니다.

1.3. 감시 및 대응

• SIEM: 로그를 중앙집중화해 분석·경보 기능을 제공합니다. 예를 들어, 연속된 로그인 실패 시 계정 잠금, 의심스러운 대량 데이터 다운로드 시 경보 발송이 가능합니다.
• 내부 통제: 접근 로그와 실제 업무 로그를 교차 검증해 내부자 위협을 탐지합니다.

---

2️⃣ 공적 목적 데이터 활용 (Public‑Purpose Data Utilization)

요소	설명
목적 정의	의료 연구, 공중 보건 정책, 학술 출판 등 공익을 위해 데이터 활용
법적 근거	PIPA의 “공익적 목적 활용” 조항, 의료법, 보건복지부 가이드라인
프라이버시 보호	익명화, 가명화, 차등 프라이버시 등 기술적 수단을 통해 개인 식별 가능성을 최소화

2.1. 익명화 & 가명화

• 익명화: 모든 식별자(이름, 주민등록번호, 주소 등)를 완전히 제거하고, 재식별 가능성이 없도록 합니다.
• 가명화: 식별자를 암호화 해시값으로 대체하고, 필요 시(연구용) 별도 매핑 키를 보관합니다.
• 검증: k‑anonymity, l‑diversity 같은 기법으로 익명화 수준을 평가합니다.

2.2. 차등 프라이버시 (Differential Privacy)

• 원리: 데이터셋에 노이즈를 추가해 개별 항목의 영향력을 최소화하고, 전체 통계는 유실하지 않게 함.
• 기술: ε (epsilon) 파라미터를 설정해 프라이버시‑정밀도 trade‑off를 조정합니다.
• 응용: 대규모 의료 데이터 분석(예: 질병 유발 인자 탐지) 시 차등 프라이버시를 적용해 연구 결과를 공개합니다.

2.3. 데이터 활용 정책

• 목적 제한: 데이터 사용은 사전에 정의된 공적 목적에 한정하며, 무단 재사용 금지.
• 투명성: 연구자와 기관에 대한 데이터 사용 보고서(연구계획, 결과, 데이터 보존 기간 등)를 제공.
• 데이터 거버넌스: 데이터 활용 요청은 중앙 거버넌스(예: 보건복지부 데이터 거버넌스 팀)에서 승인 후 진행.

---

3️⃣ 의료 기록 열람 로그 관리 (Medical Record Access Log Management)

단계	상세 내용
1. 로그 수집	접근 시각, 사용자 ID, 권한 수준, 대상 기록 ID, 행위(조회/수정/삭제)
2. 로그 무결성 보장	HMAC/digital signature로 로그 항목에 서명, 해시체인(Chain‑Hash) 구조
3. 암호화 저장	AES‑256 GCM 모드로 로그 파일 암호화, 키는 KMS(키 관리 서비스)에서 관리
4. 보존 기간	규제에 따라 최소 5년(보건복지부 기준), 필요 시 장기 보존
5. 접근 제어	로그 데이터는 별도의 IAM 정책으로 제한, 감사 로그 전용 RBAC
6. 실시간 모니터링	SIEM에서 이상 탐지(예: 5분 이내에 동일 기록에 다수 조회), 알림
7. 정기 검토 및 리포트	월간/분기별 로그 리포트 생성, 이상 사례에 대한 대응 계획 수립

3.1. 로그 수집 설계

• Audit Trail: EHR(전자건강기록) 시스템과 연동해 API 호출, UI 액션을 모두 기록합니다.
• Metadata: IP 주소, 장치 정보, 세션 ID를 포함해 추적 가능성을 높입니다.

3.2. 무결성 및 변조 방지

• 해시 체인: 각 로그 항목에 hash(prev_log) + current_log를 계산해 체인 구조를 만듭니다. 변조 시 체인 무결성이 깨져 즉시 감지됩니다.
• 디지털 서명: 서버 사인키로 로그를 서명하고, 클라이언트는 공개키로 검증합니다.

3.3. 저장·암호화

• 전송: HTTPS/TLS 1.3으로 로그 데이터를 전송합니다.
• 저장: S3 (또는 자체 NAS)와 같은 오브젝트 스토리지에 암호화된 파일을 저장.
• 키 관리: AWS KMS, Azure Key Vault, 혹은 자체 KMS를 사용해 암호화 키를 분리 저장.

3.4. 보존 및 파기

• 정책: PIPA “개인정보보호법” §36에 따라 최소 보존 기간을 지정.
• 자동 파기: 일정 기간 이후 로그를 자동으로 암호화 파기하도록 스케줄링 (예: Lambda + CloudWatch).

3.5. 모니터링 및 경보

• SIEM 연동: Splunk, Elastic SIEM, Azure Sentinel 등에 로그를 실시간 전송.
• 이상 탐지: 머신러닝 기반 이상 탐지(예: Isolation Forest)를 통해 비정상 패턴(다중 로그인, 장시간 활동 등)을 탐지합니다.

3.6. 감사 및 리포트

• 정기 감사: 내부/외부 감사인에게 로그 리포트를 제공해 규정 준수를 증명.
• 데이터 보존: 감사 결과를 바탕으로 보존 기간을 재조정하거나, 필요 시 “보존 중단” 요청을 처리합니다.

---

4️⃣ ️ 종합적 보안 아키텍처 예시

┌─────────────────────────────────────┐
│           사용자(의료진)             │
└───────┬──────────────────────┬───────┘
        │                      │
  ┌─────▼───────┐        ┌────▼───────┐
  │   MFA/Auth  │        │   EHR UI   │
  └─────┬───────┘        └────┬───────┘
        │                      │
   ┌────▼────┐              ┌──▼──────┐
   │ IAM/RBAC│              │ EHR DB  │
   └────┬────┘              └────┬────┘
        │                         │
 ┌──────▼─────────────┐     ┌─────▼─────┐
 │   Audit Log Service │     │   Data    │
 └──────┬─────────────┘     │ Analytics │
        │                   └─────┬─────┘
   ┌────▼──────┐                │
   │ Log Store │ <─────────────┘
   └────┬──────┘
        │
   ┌────▼─────┐
   │   SIEM   │
   └──────────┘

• MFA/Auth: 인증 서버(예: Okta, Azure AD)와 연동
• Audit Log Service: 로그 수집 → HMAC → 암호화 → 저장
• Log Store: S3 + KMS
• SIEM: Splunk, ELK, Azure Sentinel

---

마무리

• 통제 중심 규제는 의료기관이 데이터 접근을 세밀하게 제어하고, 로그를 통해 책임을 명확히 해야 함을 의미합니다.
• 공적 목적 데이터 활용은 연구·정책을 위해 데이터를 제공하면서도 익명화·차등 프라이버시를 통해 개인의 권리를 보호해야 합니다.
• 열람 로그 관리는 암호화, 무결성, 접근 제어, 실시간 모니터링 등 다층적 방어를 통해 규제 준수와 내부 통제를 동시에 달성합니다.

이러한 기술적 프레임워크를 구축하면 의료기관은 개인정보보호위원회의 요구를 충족하고, 동시에 의료 데이터의 가치를 극대화할 수 있습니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139546&kind=&sub_kind=