보메트릭이 미국 헬스케어 기관의 보안 현황에 초점을 맞춘 2016년 데이터 위협 보고서의 확장판을 발간했다고 밝혔다.
보메트릭과 451리서치가 공동 발간한 보고서는 미국 헬스케어 기관의 보안 전문가 100명을 포함한 전세계 대기업의 IT 보안 전문가 1100명을 대상으로 보안 위협에 대해 조사한 결과를 담고 있다. 올해로 4번째로 발간된 이 연례 보고서는 지난 달 발표한 보메트릭 데이터 위협 보고서의 글로벌 판의 주요 시사점을 미 헬스케어 기관에 종사하는 IT 보안 담당자의 응답을 바탕으로 확장한 보고서다. 이 보고서는 미 헬스케어 기관의 IT 보안 예산 계획, 데이터 위협에 대한 인식, 데이터 침해 실패 비율, 데이터 보안 현황 등에 대해 상세히 다루고 있다.
이번 보고서의 주요 내용을 살펴보면 96%의 응답자는 데이터 보호에 취약함을 느키고 있고 63%의 응답자는 과거 데이터 침해를 경험했으며 이 가운데 거의 5분의 1은 작년에 데이터 침해를 경험했다고 답했다.
또 61%의 응답자는 보안 규제 준수가 IT보안 예산 지출에 있어 최우선 고려순위이고 데이터 유출 사고 방지라고 답한 응답자가 40%로 그 뒤를 이었다
데이터 보안 솔루션을 보다 포괄적으로 도입하는데 장애가 되는 요인으로 54%의 응답자가 ‘복잡성’이라고 답했으며 38%의 응답자는 ‘인력 부족’이라고 답했다.
긍정적인 부분은 60%의 응답자가 올해 데이터 위협에 대응하기 위한 보안 예산을 증액하겠다고 답했으며 46%의 응답자가 올해 저장 데이터 방어 예산을 늘리겠다고 답했다는 것이다.
헬스케어 관련 데이터는 사이버 범죄자들의 주요 타깃이 되고 있다. 실제로 헬스케어 데이터는 암시장에서 수 백 달러 규모로 판매되고 있으며 이러한 상황에서 헬스케어 분야 종사자들이 그들이 사이버 범죄자들의 집중 타깃이 되고 있다고 느끼는 것은 당연한 일이다. 위협적인 외부자에 대한 설문에서 72%의 응답자는 사이버 범죄자를 상위 3위에 뽑았으며 39%는 1위로 꼽았다.
연방 정부 혹은 산업 내 수 많은 보안 규제뿐 아니라 비즈니스 운영을 위해 요구되는 최소한의 필수 요건들이 즐비함에 따라 헬스케어 분야의 IT 담당자들이 HIPAA-HITECH, EPCS, PCI DSS, FDA의 CFR 타이틀 21 등 보안 규제 준수에 초점을 맞추고 있다. 민감 데이터를 보호해야 하는 이유로서 응답한 상위 3개는 ▲보안 규제 준수(61%) ▲브랜드 이미지(49%) ▲보안 성공 사례 적용(46%)이다.
문제는 미 헬스케어 기관의 IT 보안 담당자 중 69%가 보안 규제 준수가 민감한 데이터를 보호하는데 명확한 근거임에는 확실하다. 그러나 실제로 보안 위협의 변화를 따라가지 못하는 보안 규제 기준은 오늘날의 다층적·다단계 공격을 방어하는데 도움이 되지 않고 있다.
451리서치의 기업 보안 수석 연구원이자 보고서의 저자인 가렛 베커(Garrett Bekker)는 “보안 규제 준수는 헬스케어 기관들이 IT보안을 위해 취하는 유일한 조치였다”며 “미국 의료정보보호법(HIPAA)를 준수한 헬스케어 기업들이 겪은 일련의 데이터 유출사고를 통해 우리는 규제를 충족시키는 것이 결코 데이터 침해나 민감 데이터 유출로부터 조직을 방어할 수 있음을 의미하지 않다는 것을 알 수 있었다”고 말했다.
이어 그는 “헬스케어 기관의 IT보안 담당자들은 과거에 효과적이었던 보안 분야에 예산을 집중하고 있다”며 “그들은 오늘날에 이뤄지는 다단계의 사이버 공격 방어에는 효과적이지 않은 네트워크 혹은 엔드포인트 보안 솔루션에 계속해서 투자하고 있다”고 밝혔다.
79%의 응답자는 네트워크 방어 솔루션이 데이터를 보호하는데 매우 효과적이라고 응답했으며 64%는 엔드포인트와 모바일 방어가 매우 효과적이라고 답했다.
미 헬스케어 기관의 IT 보안 전문가들이 향후 1년 안에 예산을 배정할 것이라고 응답한 보안 분야1위는 네트워크 방어 솔루션으로, 총 49%를 차지했다.
데이터 보안 솔루션을 보다 포괄적으로 도입하는데 가장 장애가 되는 요인은 54%를 기록한 ‘데이터 보안 솔루션의 복잡성’이었다. 이에 최근에 출시되는 데이터 보안 솔루션들은 응답자들에게 알고 있던 이전 버전의 솔루션이 가지고 있던 구축 및 유지보수 문제를 해소하고 있다 .
복잡한 구축 과정은 일반적으로 많은 인력을 요구한다. 데이터 보안 솔루션의 포괄적 도입에 장애가 되는 두 번째 요인은 ‘관리 인원 부족’으로 38%의 응답률을 기록했다. 33%를 기록한 ‘조직적인 구매 부족’과 30%를 기록한 ‘예산 부족’이 그 뒤를 이었다..
의사들이 점점 모바일 기기를 통해 업무를 보고 일반적인 건강 진단 및 외래 환자 진료를 위해 연결된 웨어러블 디바이스를 이용함에 따라 IoT는 향후 헬스케어 업계에서 주요하게 고려해야할 분야로 떠올랐다. 데이터는 데이터의 상태 및 위치, 예를 들어 디바이스 상에 저장되거나 활용되는 중이거나 백엔드 스토리지 혹은 분석 사이트에 존재하거나에 상관없이 보호돼야 한다.
38%의 응답자는 IoT환경에 민감 데이터를 저장할 계획이라고 답했다. IoT환경에 민감 데이터를 저장하는 것에 대한 가장 큰 우려는 IoT 데이터와 관련된 사생활 침해(37%)와 IoT데이터 보안 문제(36%)였다.
헬스케어 서비스 제공업체는 클라우드를 이용하는 것과 관련해 많은 우려를 가지고 있지만 한편으로는 빠르게 민감 데이터를 클라우드 환경에 저장하고 있다. 그들이 클라우드 사용과 관련해 가지고 있는 가장 큰 우려 사항은 ▲클라우드 제공업체 단에서의 권한 있는 사용자의 남용(74%) ▲보안 규제 준수(72%) ▲클라우드 제공 업체 대상의 사이버 공격(69%)이다.
이러한 우려에 불구하고 48%의 응답자는 향후 1년 안에 SaaS(Software as a Service) 환경을, 52%는 IaaS(Infrastructure as a Service)를, 52%는 PaaS(Platform as a Service) 환경을 이용할 것이라고 답했다.
48%의 응답자는 데이터 암호화 조치와 암호 키에 대해 자체적인 접근 통제 권한을 제공하는 것이 퍼블릭 클라우드 사용 의향을 증가시키는 요인이라고 답했다.
51%의 응답자는 빅데이터 환경에 민감 데이터를 저장할 계획이라고 답했지만 그 중 몇몇만이 이에 대한 우려를 가지고 있었다. 오직 15%만이 빅데이터 이용을 민감한 정보 유출의 상위 3개 위험 요소 중 하나로 꼽았다.
이번 조사에서 발견한 긍정적인 결과는 미 헬스케어 조직들이 보안 문제를 인식하고 해결하기 위해 필요한 조치들을 취해 나가고 있다는 것이다.
60%의 응답자는 민감 데이터를 보호하기 위한 예산을 늘리고 있으며 46%의 응답자는 올해 저장 데이터 방어에 투자할 것이라고 응답했다. 이는 다른 산업에 비해 높은 수치다.
46%의 응답자는 업계 성공 사례를 따라 데이터 보안을 실행할 예정이다. 많은 응답자들은 다른 방어 솔루션이 공격 당함에 따라 데이터 보안에 더 효과적인 새로운 보안 솔루션을 도입할 계획이라고 답했다. 새로운 보안 솔루션에는 클라우드 시큐리티 게이트웨이(39%), 보안 정보 및 이벤트 관리(SIEM, security information and event management) 시스템(36%), 토큰화(35%), 데이터 접근 모니터링(34%) 등이 포함된다.
티나 스튜어트 보메트릭 글로벌 마케팅 부사장은 “헬스케어 관련 데이터가 암시장에서 활발하게 거래됨에 따라 효과적인지 않은 데이터 보안 조치로 인해 환자들이 그들의 사생활과 보안 문제와 관련한 재정적인 손해를 입을 가능성이 빠르게 증가하고 있다”며 “그럼에도 불구하고 헬스케어 기관들은 아직까지 데이터를 완벽하게 보호하지 못하는 보안 규제를 IT 보안 강화 요인으로 꼽고 있다. 이제는 환자들의 정보와 사생활에 대한 보안 조치를 고객 지원의 일부분으로 인식하고 보안 규제 준수는 단지 시작에 불과하다는 것을 깨달아야 할 때”라고 말했다.
