휴이노의 정보보안과 개인정보보호

안녕하세요. 오늘은 휴이노 QM팀에서 바라보는 정보보안의 중요성에 대해 이야기하고자 합니다. 디지털 헬스케어 및 의료기기 분야에서 정보보호와 개인정보보호는 품질 관리의 필수적인 요소입니다. QM팀은 이 중요성을 깊이 인식하고, PM팀과의 긴밀한 협업을 통해 글로벌 정보보안 표준에 부합하는 선제적인 품질 관리 체계를 구축하고 있습니다. 오늘은 그 과정과 중요성에 대해 자세히 소개해드리고자 합니다.

정보보안과 개인정보보호는 단순한 시스템 보안을 넘어섭니다.

일반적으로 정보보안(Information Security)을 단지 개인이나 기업의 정보를 보호하는 시스템 보안으로만 생각하기 쉽지만, 정보보안의 결과는 한 기업의 일부 시스템에만 영향을 미치는 것이 아니라 그 기업의 사업 전체, 나아가 사회나 국가, 전세계에 영향을 미칠 수 있는 중요한 문제가 되었습니다.

실제로 미국 동부에서 석유 공급의 상당 부분을 담당하고 있는 콜로니얼 파이프라인은 압력 센서, 밸브, 펌프 등 송유관 설비를 디지털화하여 운영하였는데, 랜섬웨어 공격을 받으면서 설비 가동이 중단되었고, 그로 인해 미국 남동부 지역에 휘발유 부족 사태가 발생하면서 엄청난 피해가 발생하였습니다. 또한 지난 2019년에는 세계 최대 알루미늄 생산 회사 중 하나인 노르스크 하이드로가 랜섬웨어 공격을 받고 알루미늄 생산을 중단하게 되어 전세계적으로 알루미늄 가격 상승이 초래되었던 사건도 있었습니다.

이러한 정보보안 관련 위험은 더 이상 극소수의 회사에게만 존재하는 위험이 아닙니다. 다수의 기업들이 설비를 자동화하거나 디지털화하고 있고, 헬스케어 분야에서는 거의 모든 환자 정보가 디지털화되어 관리되고 있습니다. COVID-19 사태 이후 원격 업무가 활발하게 이루어지면서 사이버 공격이나 그 밖의 보안 관련 위협에 따른 기업의 위험, 나아가 사회나 산업 전반의 위험은 커지고 있고, 이에 따라 정보보안이 점점 더 중요해지고 있습니다.

개인정보 보호에 관해서는 국내의 경우 개인정보 보호법 외에 신용정보의 이용 및 보호에 관한 법률, 위치정보의 보호 및 이용 등에 관한 법률 등 다양한 법률이 구체적으로 규율을 하고 있고, 전세계적으로 유럽의 GDPR, 미국의 HIPAA, CCPA 등에서 강력하게 규제 및 권고하고 있어 최소한의 준수 기준은 비교적 명확히 파악할 수 있습니다.

디지털 헬스케어 전문기업인 휴이노와 같이 환자의 생체정보를 다루고 있고, 글로벌 시장진출을 준비하고 있는 의료기기 제조회사의 입장에서는 단순히 개인정보 보호 법령을 준수하는 수준에 만족해서는 안됩니다. 실제 처리하고 있는 개인정보의 항목, 처리방법, 관련 인력, 조직 및 시스템, 현재 취하고 있는 개인정보보호조치의 수준 등을 종합적으로 고려하여 개인정보침해가 발생할 수 있는 위험 요인을 선제적으로 파악해야합니다. 그리고 이러한 위험요인을 제거하기 위한 개선, 보완조치를 취하는 등보다 통합적이고, 체계적인 높은 수준의 노력이 필요합니다.

정보보안은 보안 전문 기업만의 전유물이 아니라 전세계 기업들의 글로벌스탠다드인 ESG 경영에서조차도 최근 정보보안과 개인정보보호를 가장 기본으로 여길 정도로 그 중요성이 강조되고 있습니다. ESG 평가 기준은 국가별, 기관별로 다를 수 있지만, 대부분의 평가 기준에 정보보호 영역이 포함되어 산업에 따라 높은 가중치를 두어 평가되고 있습니다. 정보보호 영역에서 정보보안 거버넌스 구축, 개인정보 수집 및 활용, 개인정보보호 활동 공개 및 정보 주체 권리 보장에 관한 내용을 다루고 있습니다. 최근 몇 년 사이 기업에 대한 사회적 책임을 강조하는 목소리가 높아지면서, ESG 경영을 도입하고 있는 기업이 점차 늘고 있습니다. 자본주의가 시작된 이후 기업의 목적은 이윤 추구로 여겨졌는데요. 기후 위기와 코로나 19 팬데믹을 겪으며 기업의 사회적 책임이 중요해지면서 많은 투자기관에서는 ESG를 투자의 중요한 평가지표로 활용하고 있습니다. 기업에 대한 정의가 ‘이윤 극대화를 위한 존재’에서 ‘가치 극대화를 위한 존재’, ‘사회적 책임을 위한 존재’로 변화하고 있는 이 시점에서, 글로벌 시장진출을 준비하는 기업에게 있어 정보보안은 선택이 아닌 필수가 되어가고 있습니다.

ISO/IEC 27001은 제로트러스트 보안을 위한 국제표준 프레임워크입니다.

ISO/IEC 27001은 정보 보안 관리 시스템(ISMS)의 ‘수립, 구축, 유지 관리 및 지속적인 개선’에 대한 요구 사항을 포함하는 국제표준 관련 지침과 프레임워크를 제공합니다. 이 표준의 기본적인 접근 방식은 제로 트러스트 보안입니다. 기존 보안 프레임워크는 네트워크 내부의 모든 것을 안전하다고 가정하고, 외부에서 들어오는 관문만 잘 관리하면 된다는 네트워크 경계보안 프레임워크입니다. 그러나 기술의 발전으로 이러한 관문을 일원화해서 통제하는 것이 점점 어려워지고 있으며, 대부분의 보안사고가 내부자에 의해 발생되는 문제로 인해 제로 트러스트 보안방식이 등장하게 되었습니다. 제로 트러스트는 사용자 또는 기기가 조직의 네트워크 내에 있더라도 기본적으로 신뢰해서는 안 된다는 아이디어를 바탕으로 조직을 보호하는 데 사용되는 보안 모델입니다. 제로 트러스트 방식은 신뢰할 수 있는 경계뿐만 아니라 네트워크 전체에 엄격한 ID 인증 및 승인을 적용하여 암시적 신뢰를 제거하는 것을 목표로 합니다. 이 모델에서 리소스 액세스 요청은 요청이 검사, 인증, 확인될 때까지 신뢰할 수 없는 네트워크에서 오는 것으로 간주되어 처리됩니다. 제로 트러스트를 사용하면 신뢰할 수 있는 네트워크 에지의 개념이 사라지고, 액세스를 요청하는 모든 사용자 또는 서비스를 네트워크 내부에 있는지 여부 또는 이전에 연결된 횟수와 상관없이 잠재적인 위협으로 가정합니다.

ISO/IEC 27001은 다음과 같은 제어를 통해 기업이 제로 트러스트 환경을 수립할 수 있도록 돕습니다:

정보 및 기타 관련 자산에 대한 물리적 접속 및 논리적 접속 제어 수립

‘최소 권한’ 접속을 보장하는 특별 접속 권한

제로 트러스트 보안 접근 방식의 일환으로 네트워크 분리

ISO/IEC 27001과 ISO/IEC 27701은 모두 정보 보안 관리 시스템에 대한 국제 표준입니다. 그러나 두 표준은 목적과 범위에서 차이가 있습니다. ISO/IEC 27001은 조직이 정보 보안 위험을 식별하고 관리하기 위한 프레임워크를 제공하며, 정보 보안 정책, 조직 구조, 보안 제어 및 위험 관리 등을 다룹니다. 반면에 ISO/IEC 27701은 개인정보 보호 경영 시스템(PIMS)에 대한 요구 사항을 추가로 제공합니다. 이 표준은 ISO/IEC 27001의 기반 위에 개인정보 보호에 대한 요구 사항을 추가하여 개인정보 보호 경영 시스템을 구축하고 운영하는 데 도움을 줍니다. ISO/IEC 27701은 개인정보 보호 경영 시스템을 인증하기 위한 프로세스도 포함하고 있습니다. 인증은 독립적인 인증 기관에 의해 수행되며, 조직은 인증을 위해 외부 감사를 받아야 하며, 감사 결과에 따라 인증 여부가 결정됩니다.

ISO/IEC 27001의 비즈니스 이점

데이터 보안은 오늘날 경쟁 우위를 확보하는 데 필수적인 요소입니다. 고객, 클라이언트 및 기타 이해 관계자에게 회사가 정보 보안을 중시하며 비즈니스 연속성 관리 체계를 갖추고 있음을 입증할 수 있습니다.

ISO/IEC 27001을 준수한다는 것은 ISMS(정보보호 경영시스템)를 기반으로 데이터 보안 리스크를 방어하고 함께 비즈니스를 수행하는 회사의 리스크도 최소화할 수 있는 안전한 환경을 구축했음을 의미합니다.

정보 보안 위협을 관리하고 인시던트 관리를 개선하기 위한 일련의 제어 수단을 제대로 구축한 기업은 데이터 보안 격차 분석을 완료하여 사이버 공격 및 우발적인 데이터 노출의 리스크를 낮출 수 있습니다. 즉, 데이터 유출이 줄어들고 규정 미준수로 인한 벌금과 기타 처벌도 줄어들 수 있습니다.

ISO/IEC 27001 제어 및 프레임워크는 GDPR 및 NIST 사이버 보안 프레임워크(CSF)와 같은 기타 데이터 보호 규정과 연결됩니다. 따라서 ISO/IEC 27001 인증을 획득하면 이러한 기타 데이터 보호 규정을 준수하는 데 도움이 됩니다.

ISO/IEC 27701 준수의 효과

기업이 ISO/IEC 27701를 준수한다는 것은 1차적으로 개인 정보 관리 능력에 대한 신뢰를 구축할 수 있고, 개인정보를 보호하는 조직 내 역할과 책임의 명확화할 뿐 아니라, 이에 대한 내부 역량 향상 및 프로세스 개선을 통한 개인정보보호 관련 국내뿐아니라 글로벌 법규(EU GDPR, US HIPAA, US(CA) CCPA 등)의 위반을 예방 및 방지할 수 있습니다. 또한, 프라이버시 관리를 위한 확립된 통제 및 투명성을 제공하게 되고, 무엇보다 비즈니스 파트너와의 합의를 촉진하게 됩니다. 그리고, ISO/IEC 27701은 선도적인 정보보안 표준인 ISO/IEC 27001과 쉽게 통합 관리가 가능할 수 장점이 있습니다.

휴이노 QM팀은 이미 ISO 13485와 GMP 인증을 통해 의료기기의 품질 관리 능력을 인정받았습니다. 최근에는 ISO/IEC 27001과 ISO/IEC 27701 인증을 획득하면서 정보보안 분야에서도 글로벌 파트너와 고객사로부터 높은 신뢰를 확보했습니다. 이를 기반으로, 휴이노는 글로벌 시장에서 사회적 책임을 다하는 기업으로서의 입지를 더욱 공고히 하고 있습니다. 앞으로도 지속 가능하고 신뢰할 수 있는 정보보안 관리 체계를 유지하며, AI 기반의 디지털 헬스케어 기술로 질병 예방과 삶의 질 향상을 추구할 것입니다. 다음 포스팅에서는 QM팀이 진행하는 다양한 품질 활동에 대해 더 자세히 소개해 드리겠습니다. 감사합니다.