[인터뷰] "보안 사고 피해자는 소비자...기업 스스로 투자 늘려야" 김광훈 라이프시맨틱스 소장
2022-10-06 12:37
라이프시맨틱스, ISO·HIPAA·ISMS-P 등 국내외 주요 보안인증 획득
김광훈 ICT융합연구소장, 올 마이데이터 시대 앞두고 보안 강화 필요성 강조
김광훈 ICT융합연구소장, 올 마이데이터 시대 앞두고 보안 강화 필요성 강조
김광훈 라이프시맨틱스 ICT연구소장이 6일 아주경제와 만나 마이데이터 시대에서 정보보호의 중요성을 강조했다.[사진=라이프시맨틱스]
새 정부가 추진하는 '디지털플랫폼정부'는 국민, 기업, 정부가 활용할 수 있는 모든 데이터를 개방·연결해 사회 문제를 해결하고, 새로운 가치를 창출하는 것을 목표로 한다. 정부는 이러한 기반을 마련하기 위해 공공분야 데이터 전면 개방과 마이데이터 전산업 확산 등을 추진 중이다.
현재 금융 분야에서는 마이데이터 사업이 본격화되면서 금융 소비자를 위한 신규 서비스가 출시되고 있다. 사용자는 이전보다 더 간편하게 자신의 금융상태를 확인할 수 있으며, 사업자는 맞춤형 신규 서비스를 발굴해 제공하는 등 시장을 창출할 수 있다. 이러한 마이데이터가 금융뿐만 아니라 의료, 공공, 생활, 교통 등으로 확대되면 일상 곳곳에서 최적화한 서비스를 제공할 수 있을 전망이다.
하지만 개인의 각종 정보를 제공해야 한다는 점에서 보안에 대한 우려도 크다. 실제로 지난해 말 금융 마이데이터 서비스가 시작된 직후 일부 사용자의 금융정보가 다른 사용자에게 노출되는 보안 사고가 발생하기도 했다. 마이데이터 사업 확산을 앞둔 가운데, 보안 중요성이 커지는 이유다.
6일 김광훈 라이프시맨틱스 ICT융합연구소장은 아주경제와 만나 "의료분야는 보안 사고가 났을 때 일반적인 개인정보보다 더 큰 피해를 준다. 특히 디지털 의료기기 관련 사고가 발생할 경우 생명에 직접적인 피해를 줄 수 있다"며 "디지털 의료 제품과 서비스를 만든다면 보안을 필수적인 요소로 생각하고 제품을 개발해야 한다. '보안은 나중에 보완하면 된다'고 생각하는 경향도 있지만, 사고가 발생하면 피해가 크고 보완하는 비용도 개발단계보다 더 많이 든다"고 강조했다.
라이프시맨틱스는 개인건강기록 플랫폼, 비대면 진료, 디지털 치료제 등 디지털 헬스케어 분야 전문 기업이다. 정부의 인공지능 기반 진단 보조 플랫폼 사업 '닥터앤서'에 참여하고, 공공의료정보 빅데이터 구축 사업을 추진하는 등 의료 분야 디지털 전환에 앞장서고 있다.
현재 금융 분야에서는 마이데이터 사업이 본격화되면서 금융 소비자를 위한 신규 서비스가 출시되고 있다. 사용자는 이전보다 더 간편하게 자신의 금융상태를 확인할 수 있으며, 사업자는 맞춤형 신규 서비스를 발굴해 제공하는 등 시장을 창출할 수 있다. 이러한 마이데이터가 금융뿐만 아니라 의료, 공공, 생활, 교통 등으로 확대되면 일상 곳곳에서 최적화한 서비스를 제공할 수 있을 전망이다.
하지만 개인의 각종 정보를 제공해야 한다는 점에서 보안에 대한 우려도 크다. 실제로 지난해 말 금융 마이데이터 서비스가 시작된 직후 일부 사용자의 금융정보가 다른 사용자에게 노출되는 보안 사고가 발생하기도 했다. 마이데이터 사업 확산을 앞둔 가운데, 보안 중요성이 커지는 이유다.
6일 김광훈 라이프시맨틱스 ICT융합연구소장은 아주경제와 만나 "의료분야는 보안 사고가 났을 때 일반적인 개인정보보다 더 큰 피해를 준다. 특히 디지털 의료기기 관련 사고가 발생할 경우 생명에 직접적인 피해를 줄 수 있다"며 "디지털 의료 제품과 서비스를 만든다면 보안을 필수적인 요소로 생각하고 제품을 개발해야 한다. '보안은 나중에 보완하면 된다'고 생각하는 경향도 있지만, 사고가 발생하면 피해가 크고 보완하는 비용도 개발단계보다 더 많이 든다"고 강조했다.
라이프시맨틱스는 개인건강기록 플랫폼, 비대면 진료, 디지털 치료제 등 디지털 헬스케어 분야 전문 기업이다. 정부의 인공지능 기반 진단 보조 플랫폼 사업 '닥터앤서'에 참여하고, 공공의료정보 빅데이터 구축 사업을 추진하는 등 의료 분야 디지털 전환에 앞장서고 있다.
김광훈 라이프시맨틱스 ICT융합연구소장[사진=라이프시맨틱스]
김 소장은 정보보호 분야 전문가로, 현재 라이프시맨틱스에서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡고 있다. 특히 민감한 의료 데이터를 다루는 만큼 자체적인 정보보호 강화와 국내외 기관의 인증 획득에 주력하고 있다. 정보보호, 클라우드, 개인정보보호, 의료정보보호 등에 대한 ISO 국제인증은 물론, 미국의 의료정보보호관련 규제(HIPAA) 적합성 평가도 통과했다. 최근에는 한국인터넷진흥원으로부터 '정보보호 및 개인정보관리체계(ISMS-P)' 인증도 획득했다.
그는 "ISMS-P는 일정 매출 규모, 이용자 수, 정보보호 중요도에 따라 의무적으로 얻어야 하는 인증이다. 우리는 의무 대상이 아니지만, 함께 사업하는 파트너가 보험사, 대형 병원 등 필수 대상에 해당한다. 때문에 이들과 정보보호 수준을 맞추기 위해 과감히 투자하고 인증을 획득했다"며 "우리의 보안 수준을 객관적으로 증명하고, 파트너사와의 사업 기회를 놓치지 않기 위해 이러한 인증을 획득하고 있다"고 밝혔다.
김 소장은 정보보호를 사업 목적 달성을 위한 요소라고 설명했다. 사업을 펼치는 데 있어 방해되는 정보유출 등의 요소를 최대한 제어해야 한다는 의미다. 특히 미국이나 유럽 등 해외 시장 진출 시에도 보안 관련 규제나 정보취급 수준 등이 걸림돌이 될 수 있어, 글로벌 인증에도 빠르게 대응 중이다.
이러한 정보보호 투자는 제품과 서비스 기획 단계에서부터 적용되고 있다. 제로트러스트 관점에서 서비스의 기능에 대한 위험평가를 하고, 발생 가능한 여러 시나리오를 기반으로 보안적으로 안전한 개발을 추구한다는 설명이다.
김 소장은 마이데이터 시대에서 정보 격리를 풀고 이를 활용해야만 산업 발전과 정보주체에 대한 혜택 제공이 가능하다고 밝혔다. 이러한 상황에서 정보보호를 위해 다양한 기술과 조치를 통한 보호 체계의 필요성을 강조했다.
그는 "궁극적으로는 보호해야 할 데이터 분리하고, 제로트러스트 관점에서 접근 권한을 최소화·세분화해야 한다. 누군가 정보에 접근할 때마다 이를 검증하고, 접근할 수 있는 정보 영역에 대한 분리도 필요하다"고 설명했다.
그러면서 "예를 들어 스마트폰 애플리케이션이 수많은 권한을 요구하는데, 사용자는 자신의 정보가 얼마나 활용되고 있는지 알기 어렵다. 기업이 요구하는 활용 수준에 비해 사용자가 얻을 수 있는 정보는 한정적"이라며 "이런 상황에서 기업이 지나친 정보를 수집하고 보안 사고가 발생하면 큰 타격을 받는다. 피해는 데이터 소유자에게 고스란히 돌아간다. 이러한 사고 방지 위해 기업은 보안에 대해 투자를 일정 수준 이상 해야 한다"고 밝혔다.
그는 "ISMS-P는 일정 매출 규모, 이용자 수, 정보보호 중요도에 따라 의무적으로 얻어야 하는 인증이다. 우리는 의무 대상이 아니지만, 함께 사업하는 파트너가 보험사, 대형 병원 등 필수 대상에 해당한다. 때문에 이들과 정보보호 수준을 맞추기 위해 과감히 투자하고 인증을 획득했다"며 "우리의 보안 수준을 객관적으로 증명하고, 파트너사와의 사업 기회를 놓치지 않기 위해 이러한 인증을 획득하고 있다"고 밝혔다.
이러한 정보보호 투자는 제품과 서비스 기획 단계에서부터 적용되고 있다. 제로트러스트 관점에서 서비스의 기능에 대한 위험평가를 하고, 발생 가능한 여러 시나리오를 기반으로 보안적으로 안전한 개발을 추구한다는 설명이다.
김 소장은 마이데이터 시대에서 정보 격리를 풀고 이를 활용해야만 산업 발전과 정보주체에 대한 혜택 제공이 가능하다고 밝혔다. 이러한 상황에서 정보보호를 위해 다양한 기술과 조치를 통한 보호 체계의 필요성을 강조했다.
그는 "궁극적으로는 보호해야 할 데이터 분리하고, 제로트러스트 관점에서 접근 권한을 최소화·세분화해야 한다. 누군가 정보에 접근할 때마다 이를 검증하고, 접근할 수 있는 정보 영역에 대한 분리도 필요하다"고 설명했다.
그러면서 "예를 들어 스마트폰 애플리케이션이 수많은 권한을 요구하는데, 사용자는 자신의 정보가 얼마나 활용되고 있는지 알기 어렵다. 기업이 요구하는 활용 수준에 비해 사용자가 얻을 수 있는 정보는 한정적"이라며 "이런 상황에서 기업이 지나친 정보를 수집하고 보안 사고가 발생하면 큰 타격을 받는다. 피해는 데이터 소유자에게 고스란히 돌아간다. 이러한 사고 방지 위해 기업은 보안에 대해 투자를 일정 수준 이상 해야 한다"고 밝혔다.