민감한 의료데이터의 증가와 함께, 이 데이터를 저장하고 액세스하는 다양한 기기와 위치 또한 급속히 늘어나고 있어 해커의 공격을 받을 위험성이 커지고 있다. 또한 의료산업은 점점 더 복잡한 데이터 개인 정보 보호 규정을 준수해야 하는 추세다. 미국의 경우 주, 연방 및 국제 요건 등이 포함된다.
무엇보다 의료 IT담당자들도 전세계 기업들이 공통적으로 경험하고 있는 IT도전과제, 즉 인프라의 복잡성 증가, 숙련된 인력 채용 및 유지관리의 어려움, 프라이빗/퍼블릭클라우드로의 지속적인 마이그레이션, 중단 없는 데이터 가용성 및 실시간에 가까운 데이터 분석의 필요성 등에 모두 공감하고 있다.
이러한 과제에 대응하고, 환자를 보호하며, 업계 선두에서 유지하기 위해서는, IT 담당자의 주도 아래 조직이 사이버 적합성(CyberFit)을 갖추고 해당 과제에 직면할 수 있도록 사이버 보호 전략을 세워야 한다.
이러한 현대적 접근방식은 데이터 보호와 사이버 보안 기능을 결합하여 사이버 보호의 5개 요소, 즉 안전성, 접근성, 개인정보보호, 신뢰성 및 데이터 보안(safety, accessibility, privacy, authenticity, and security)의 균형을 맞출 수 있다.
1. 데이터 침해 문제 해결: 2017년 한 해 동안 560만명의 환자 기록에 대한 침해 사고가 발생했으며, 하나의 기관에서 이를 알아내는 데 평균 308일이 걸렸다. 의료데이터 침해를 방지하려면 물리적 시스템, 가상머신(VM), 클라우드 서비스 및 모바일 기기 환경에 IT 인프라 보안 계층을 설정해야 한다.
사이버 보호 솔루션을 통해 암호화된 백업 및 저장, 고급 악성 소프트웨어 방지 기능, 신속한 재해 복구 기능 등 공격 후 데이터를 도난으로부터 보호하고 신속한 복구를 보장할 수 있다.
2. 멀웨어 위협으로부터 보호: 오늘날 의료 업계를 괴롭히고 있는 악성코드의 가장 만연한 위협 중 두 가지는 랜섬웨어와 크립토재킹이다. 이러한 사이버위협을 탐지, 종료 및 복구하기 위한 대비책을 갖추지 못한 의료 기관은 환자의 생명을 위협하고 수백만 달러의 생산성 손실과 교정 비용을 초래하는 다운타임을 겪었다.
사이버 보호 기술은 최첨단 멀웨어 차단 기술을 통해 이를 예방할 수 있다. 인공지능(AI)과 기계 학습(ML) 기술을 사용하는 통합 구성형의 아크로니스 액티브 프로텍션(Acronis Active Protection)의 경우 선제적인 멀웨어 차단을 위해 공격을 자동으로 탐지, 식별, 중지 및 복구한다.
3. 컴플라이언스 요건 충족: 의료 IT전문가들은 미국의 HIPAA와 같이 점점 더 엄격한 데이터 규정을 준수할 책임에 직면하고 있다. 많은 의료 기관들에게 있어 HIPAA의 데이터 취급 제한 규정을 준수하는 것은 쉽지 않은 일이며, 이 규정이 도입되고 난 이후에는 수백만 달러의 벌금이 부과될 수 있다.
사이버 보호 기술은 규정을 준수하는데 중요한 역할을 한다. 조직에서는 개인 데이터 관리 및 보안 규칙을 준수해야 한다. 여기에는 사이버 보호의 두 가지 기본 구성 요소인 개인정보 암호화와 데이터 무결성 입증 등이 포함된다.
4. 애플리케이션 및 스토리지를 클라우드로 마이그레이션: 오늘날 디지털 세계에서 클라우드 기술은 사이버 적합성(CyberFit)을 추구하는 의료 조직의 필수요소다. 그러나 새로운 스토리지 유형으로 데이터를 마이그레이션하는 것은 단순한 작업이 아니며, 특히 잠재적인 벌금 부과 및 데이터 침해를 방지하기 위해 엔드 투 엔드 방식으로 검증 가능한 보호가 필요한 경우에는 더욱 그러하다.
사이버 보호를 통해 하이브리드 클라우드 백업과 스토리지를 지원함으로써 이러한 문제를 해결할 수 있다. 마이그레이션 프로세스 내내 모든 데이터는 단일 창을 통해 관리되므로 쉽고 효율적이며 안전한 전송이 보장된다.
5. 지속적인 데이터 가용성 제공: 지속적인 데이터, 애플리케이션 및 시스템 가용성은 의료 조직에 매우 중요하다. 실제로, 계획되지 않은 시스템 중단에는 평균 91만8000달러의 비용이 소요되고, 환자의 생명에 영향에 미칠 수도 있다.
이러한 사고를 방지하려면 최단의 복구 시간 목표(RTO) 및 복구 시점 목표(RPO)가 필수적이다. 사이버 보호는 신뢰할 수 있는 비즈니스 연속성을 제공하도록 돕는다.
6. 모바일 기기의 조직화: 환자 데이터는 다양한 모바일 및 웹 기반 기기에서 수집되고 제공된다. 그러나 최근 발표된 페트리(Petri) 연구에 따르면, 기존의 데이터 보호 및 사이버 보안 전략에 의해 적절한 보안 지원이 이루어지지 않을 경우 BYOD(Bring Your Own Device, BYOD) 정책을 도입하는 것은 중대한 위협이 된다.
IT부서에서 항상 데이터를 제어할 수 있어야 하며, 손상, 분실 또는 도난당한 모바일 장치의 데이터를 복원할 수 있어야 한다. IT부서는 사이버 보호 기술을 통해 조직의 데이터에 필요한 보호와 제어를 확보할 수 있다.
7. 인프라 복잡성을 가중시키지 않고 데이터 보호 강화: 의료조직이 디지털혁신의 다른 측면에서도 생산적이고 효과적인 상태를 유지하려면 일반적인 IT지식을 가진 사용자가 사용하기에 너무 복잡하지 않으면서 모든 데이터, 애플리케이션 및 시스템을 보호할 수 있는 사이버 보호 도구가 필요하다.
강력하고 사용하기 간편한 사이버 보호 기술을 통해 모든 조직의 워크로드를 보호할 수 있는 단일 플랫폼을 확보하고, 의료 서비스 운영에 필요한 사이버 보호 비용을 단순화하고 절감할 수 있다.
글 : 데이브 코스토스(Dave Kostos) / 마케팅 스페셜리스트 / 아크로니스