병원정보시스템 보호를 위한 기술·관리 보안체계 가이드라인

병원정보시스템 보안가이드라인 - 국가정보원, 국가보안기술연구소

'병원정보시스템 보안가이드라인(2025.4)'은 의료기관의 정보시스템을 대상으로 체계적인 보안 대책을 제시하기 위해 국가정보원과 국가사이버안전센터(NSR)에서 발간한 문서입니다. 전체 내용은 총 5장으로 구성되어 있으며, 병원정보시스템(HIS)의 보안 필요성부터 기술적·관리적 보안대책, 점검 항목까지 포괄적으로 다룹니다. 다음은 주요 내용입니다.

1. 개요 및 보안 필요성

병원정보시스템 개요

• 병원정보시스템(HIS): 진료 및 행정정보를 통합 관리하는 시스템으로, OCS, EMR, PACS, LIS 등의 시스템과 연계되어 구성됨.
• 보안 필요성: 개인정보 유출, 랜섬웨어, 내부자 오남용 등 위협에 대응하기 위해 보안 체계 확립이 필수.

병원정보시스템 대상 보안 위협 사례

300x250

2. 네트워크 보안대책

병원정보시스템 네트워크 구성 및 연계 유형 예시

① 연계 구간별 보안대책

• 시스템 내 연계: 의료정보시스템 간 PACS 등 영상데이터 연계 구간 – VLAN 분리, 접근제어, 로깅 강화 등.
• 부서 간 연계: 경영정보시스템, 진료지원시스템 등 부서간 연계 시 접근 통제 필요.
• 인터넷 연계: 외부 환자 접근 포털, 보험청구 등은 DMZ 구간에 위치시키고 IDS/IPS, 방화벽 적용.
• 의료기기/단말기 연계: DICOM 미지원 장비는 분리, VPN 사용 권장. Wi-Fi는 WPA2 이상, 고정 PIN 금지.

연계 구간별 보안대책 예시

② DMZ 구성

• 외부 연계를 위한 시스템은 DMZ에 위치시키고, 내부망과의 라우팅 최소화 필요.
• 내부망 접근 시에는 중계 서버를 통한 간접 접근 방식 권장.

인터넷 연계 구간 DMZ 구성 예시

3. 시스템 및 애플리케이션 보안대책

• 권한 관리: 최소 권한 원칙, 자동 로그아웃, 비인가 실행 방지.
• 패치 및 백신: OS 및 애플리케이션에 대한 정기적 패치, 백신 정책 수립.
• 로깅 및 모니터링: 주요 시스템 로그 수집 및 이상행위 탐지 적용.
• 보안 설정 강화: 불필요한 서비스 비활성화, 관리자 계정 보호.
• 애플리케이션 보안: 소스코드 보안 점검, 보안 취약점(예: SQL Injection, XSS) 방지 코드 적용.

4. 관리적 보안대책

• 정보보안 정책 수립: 병원 특성에 맞는 정책 수립 및 주기적 갱신.
• 보안 조직 운영: 전담 보안 인력, 외부 위탁 시 보안 기준 포함.
• 보안 교육/훈련: 전 직원 대상 연간 1회 이상 보안교육 필수.
• 보안 점검 및 감사: 정기 점검 수행, 사고 시 대응 프로세스 운영.

5. 점검항목 제공

• 관리적 보안 점검표: 정책 수립, 교육 이행, 조직 구성 등 20여 개 항목.
• 기술적 보안 점검표: 접근통제, 인증, 네트워크 분리 등 항목별 체크리스트 제공.

보안 관리자 및 내부 사용자에게 제시할 수 있는 가이드

▶ 내부 사용자 가이드 예시

• 공용 ID 사용 금지, 담당 업무 외 시스템 접근 금지.
• 로그인 후 장시간 미사용 시 로그아웃 필수.
• 이메일 및 외부 저장매체(USB) 사용 제한.

▶ 보안 점검 포인트 예시

• 시스템 간 연계 구조를 시각화하고, 네트워크 분리 여부 점검.
• 관리자 계정 이력 및 변경 주기 확인.
• 주요 시스템 접근 로그 수집 여부 및 외부 반출 이력 추적 가능성 점검.

활용 방안 및 유사 사례

• Wazuh, OSQuery, auditd를 연계해 병원 서버·단말기의 로그 수집 및 실시간 이상행위 탐지 적용.
• Nuclei 또는 nmap 등을 이용한 시스템 취약점 자동 스캐닝.
• EDR 및 NAC 솔루션을 통해 단말기 및 사용자 접속제어 강화.

병원정보시스템_보안가이드라인(2025.4).pdf

2.75MB

출처 : 국가사이버안보센터