2010.05.18

미국 새 의료법 통과 8개월, P2P로 도는 의료정보들

Jaikumar Vijayan | Computerworld

더욱 강력한 의료정보 보호를 요구하는 법이 통과 된지 거의 8개월이 지나고 있지만, 여전히 이런 정보가 파일공유 네트워크에 노출되고 있는 것으로 나타났다.

 

이는 다트마우스 컬리지의 터크 경영 대학(Dartmouth College's Tuck School of Business)이 조사한 것으로, 다트마우스 컬리지 교수 에릭 존슨은 IEEE 보안 심포지움에서 대학 연구원들이 인기 있는 P2P 네트워크에서 환자 정보가 들어있는 수 천 건의 문서를 어떻게 발견했는지 설명할 예정이다.

 

연구원들이 발견한 3,000건 이상의 파일 중 하나는 2만 8,000명의 보험 정보, 개인이 누구인지 알 수 있는 정보, 담당 의사 이름, 진단 코드 등이 들어있는 스프레드시트였다. 또 다른 문서에는 7,000명 이상에 대해 위와 비슷한 정보가 담겨있었다. 또한, 많은 문서들에는 환자와의 커뮤니케이션 내용, 치료 데이터, 처방전, 정신의학적 평가 등 민감한 정보들이 들어있었다. 최소한 5개의 파일에는 현재 의료법에 위반되는 내용이 포함되어 있었다.

 

AP0C1E.JPG이 중 일부 파일들은 오바마 정부가 HITECH(Health Information Technology for Economic and Clinical Health) 법을 제정하기 전에 유출된 것으로 보이지만, 상당 수는 꽤 최근의 기록이다. 지난 2008년 다트마우스 대학이 진행했던 같은 조사에서도 라임와이어(Limewire), e동키(eDonkey), 베어쉐어(BearShare) 등 인기 P2P 네트워크에 의료 데이터가 포함되어 있는 파일이 발견된 바 있다. 여기서 발견된 문서 중 하나에는 350MB의 마취과 환자 데이터가 있었으며, 또 다른 파일에는 시카고의 에이즈 클리닉 환자 데이터가 들어있었다.

 

이번 보고서에 참여한 교수 중 한 사람인 존슨은 아직도 이렇게 많은 단체들이 이런 정보를 파일 공유 네트워크에 유출시키고 있다는 사실이 놀랍다고 전했다.

 

지난 9월부터 발효된 HITECH 법은 의료 데이터를 다루는 어떤 업체도 이를 보호하기 위해 더 강력한 제어기능을 도입해야 하도록 요구하고 있다. 또한, 이 법은 환자 의료 정보가 포함된 데이터가 유출된 경우에 60일 안에 이 사실에 대해서 알리도록 규정하고 있다. 더불어 HIPAA(the Health Insurance Portability and Accountability Act)라고 알려져 있는 환자 프라이버시와 관련된 연방 법을 준수하도록 요구하고 있으며, 이 같은 요구 사항에 맞지 않는 경우 강력한 처벌을 한다고 명시되어 있다.

 

민감한 환자 의료 정보가 P2P 네트워크에서 쉽게 이용할 수 있다는 것은 많은 기업들이 여전히 보안에 대해 크게 주의를 기울이지 않는다는 것을 시사한다고 존슨은 지적했다.

 

데이터가 어떻게 유출되었나

 

P2P 네트워크에 데이터가 유출되는 것은 일반적으로 라임웨어나 e몽키 같은 P2P 사이트에서 나온 파일 공유 소프트웨어가 부적절하게 민감한 데이터가 들어있는 컴퓨터에 설치됐을 때 발생한다. 파일 공유 소프트웨어는 컴퓨터 속의 음악이나 동영상 파일을 공유하고자 설치되는데, 많은 경우에 사용자들은 이 소프트웨어를 부적절하게 구성하여서 컴퓨터에 있는 모든 파일을 공유하도록 만들어 버리는 경우가 있다. 이렇게 되면 해당 내용을 P2P 네트워크에 있는 모든 사용자들이 이용할 수 있다.

 

이런 착오들은 지난 몇 년간 P2P 네트워크에 데이터가 대량으로 유출되는 사고로 이어져 왔다. 예를 들면, 지난 해 오바마 대통령의 전용 헬리콥터 정보 유출이나 대통령 가족들의 보안 서비스의 상세 내용이 담긴 문서 등이 유출되는 사고가 있었다.

 

정부뿐만 아니라 일반 기업도 이런 정보 유출의 피해를 입은 바 있는데, 제약회사 화이자(Pfizer Inc.)의 직원 1만 7,000명의 개인정보가 유출됐다. 이런 정보 유출로 인해 정부 네트워크에서 P2P 소프트웨어 사용을 제한하는 새로운 법을 제정해야 한다는 주장이 제기됐다. 더불어 소프트웨어 개발자들에게 자신의 P2P 소프트웨어를 좀 더 안전하게 만들도록 하는 법안도 제안됐다.

 

존슨은 이번 연구에서 HITECH 법이 P2P 네트워크에 노출되는 의료 정보의 양에 어떤 영향을 끼쳤는지 알고 싶었는데, 이를 위해서 특정 의료 관련 키워드를 여러 P2P 네트워크에서 검색하는 방법을 택했다. 이런 검색 결과로 나오는 각 파일을 검사한 후, 중요도에 따라서 3 단계로 나눴다.

 

그 결과 연구원들은 P2P 네트워크에서 이런 의료 데이터를 새 법이 발효되기 전과 똑같이 쉽게 발견할 수 있었으며, 전체 문서 중 20%가 HITECH 법에 의해 보호받아야 하는 내용이 들어있었다. 심지어 더욱 불안한 것은 이런 데이터들이 보호되지 않은 스프레드시트나 마이크로소프트 워드 문서라는 점인데, 이는 많은 기업들이 적절한 데이터 보호를 시행하고 있지 않다는 의미이다. 또한, 데이터가 유출된 많은 업체들은 심지어 유출됐다는 사실을 모르고 있었다.

 

존슨은 “이런 업체들에게 P2P에 데이터가 유출됐다는 사실을 처음 알리면, 대부분이 불신하거나 핑계거리를 만들기에 급급했다”라고 덧붙였다. jvijayan@computerworld.com



2010.05.18

미국 새 의료법 통과 8개월, P2P로 도는 의료정보들

Jaikumar Vijayan | Computerworld

더욱 강력한 의료정보 보호를 요구하는 법이 통과 된지 거의 8개월이 지나고 있지만, 여전히 이런 정보가 파일공유 네트워크에 노출되고 있는 것으로 나타났다.

 

이는 다트마우스 컬리지의 터크 경영 대학(Dartmouth College's Tuck School of Business)이 조사한 것으로, 다트마우스 컬리지 교수 에릭 존슨은 IEEE 보안 심포지움에서 대학 연구원들이 인기 있는 P2P 네트워크에서 환자 정보가 들어있는 수 천 건의 문서를 어떻게 발견했는지 설명할 예정이다.

 

연구원들이 발견한 3,000건 이상의 파일 중 하나는 2만 8,000명의 보험 정보, 개인이 누구인지 알 수 있는 정보, 담당 의사 이름, 진단 코드 등이 들어있는 스프레드시트였다. 또 다른 문서에는 7,000명 이상에 대해 위와 비슷한 정보가 담겨있었다. 또한, 많은 문서들에는 환자와의 커뮤니케이션 내용, 치료 데이터, 처방전, 정신의학적 평가 등 민감한 정보들이 들어있었다. 최소한 5개의 파일에는 현재 의료법에 위반되는 내용이 포함되어 있었다.

 

AP0C1E.JPG이 중 일부 파일들은 오바마 정부가 HITECH(Health Information Technology for Economic and Clinical Health) 법을 제정하기 전에 유출된 것으로 보이지만, 상당 수는 꽤 최근의 기록이다. 지난 2008년 다트마우스 대학이 진행했던 같은 조사에서도 라임와이어(Limewire), e동키(eDonkey), 베어쉐어(BearShare) 등 인기 P2P 네트워크에 의료 데이터가 포함되어 있는 파일이 발견된 바 있다. 여기서 발견된 문서 중 하나에는 350MB의 마취과 환자 데이터가 있었으며, 또 다른 파일에는 시카고의 에이즈 클리닉 환자 데이터가 들어있었다.

 

이번 보고서에 참여한 교수 중 한 사람인 존슨은 아직도 이렇게 많은 단체들이 이런 정보를 파일 공유 네트워크에 유출시키고 있다는 사실이 놀랍다고 전했다.

 

지난 9월부터 발효된 HITECH 법은 의료 데이터를 다루는 어떤 업체도 이를 보호하기 위해 더 강력한 제어기능을 도입해야 하도록 요구하고 있다. 또한, 이 법은 환자 의료 정보가 포함된 데이터가 유출된 경우에 60일 안에 이 사실에 대해서 알리도록 규정하고 있다. 더불어 HIPAA(the Health Insurance Portability and Accountability Act)라고 알려져 있는 환자 프라이버시와 관련된 연방 법을 준수하도록 요구하고 있으며, 이 같은 요구 사항에 맞지 않는 경우 강력한 처벌을 한다고 명시되어 있다.

 

민감한 환자 의료 정보가 P2P 네트워크에서 쉽게 이용할 수 있다는 것은 많은 기업들이 여전히 보안에 대해 크게 주의를 기울이지 않는다는 것을 시사한다고 존슨은 지적했다.

 

데이터가 어떻게 유출되었나

 

P2P 네트워크에 데이터가 유출되는 것은 일반적으로 라임웨어나 e몽키 같은 P2P 사이트에서 나온 파일 공유 소프트웨어가 부적절하게 민감한 데이터가 들어있는 컴퓨터에 설치됐을 때 발생한다. 파일 공유 소프트웨어는 컴퓨터 속의 음악이나 동영상 파일을 공유하고자 설치되는데, 많은 경우에 사용자들은 이 소프트웨어를 부적절하게 구성하여서 컴퓨터에 있는 모든 파일을 공유하도록 만들어 버리는 경우가 있다. 이렇게 되면 해당 내용을 P2P 네트워크에 있는 모든 사용자들이 이용할 수 있다.

 

이런 착오들은 지난 몇 년간 P2P 네트워크에 데이터가 대량으로 유출되는 사고로 이어져 왔다. 예를 들면, 지난 해 오바마 대통령의 전용 헬리콥터 정보 유출이나 대통령 가족들의 보안 서비스의 상세 내용이 담긴 문서 등이 유출되는 사고가 있었다.

 

정부뿐만 아니라 일반 기업도 이런 정보 유출의 피해를 입은 바 있는데, 제약회사 화이자(Pfizer Inc.)의 직원 1만 7,000명의 개인정보가 유출됐다. 이런 정보 유출로 인해 정부 네트워크에서 P2P 소프트웨어 사용을 제한하는 새로운 법을 제정해야 한다는 주장이 제기됐다. 더불어 소프트웨어 개발자들에게 자신의 P2P 소프트웨어를 좀 더 안전하게 만들도록 하는 법안도 제안됐다.

 

존슨은 이번 연구에서 HITECH 법이 P2P 네트워크에 노출되는 의료 정보의 양에 어떤 영향을 끼쳤는지 알고 싶었는데, 이를 위해서 특정 의료 관련 키워드를 여러 P2P 네트워크에서 검색하는 방법을 택했다. 이런 검색 결과로 나오는 각 파일을 검사한 후, 중요도에 따라서 3 단계로 나눴다.

 

그 결과 연구원들은 P2P 네트워크에서 이런 의료 데이터를 새 법이 발효되기 전과 똑같이 쉽게 발견할 수 있었으며, 전체 문서 중 20%가 HITECH 법에 의해 보호받아야 하는 내용이 들어있었다. 심지어 더욱 불안한 것은 이런 데이터들이 보호되지 않은 스프레드시트나 마이크로소프트 워드 문서라는 점인데, 이는 많은 기업들이 적절한 데이터 보호를 시행하고 있지 않다는 의미이다. 또한, 데이터가 유출된 많은 업체들은 심지어 유출됐다는 사실을 모르고 있었다.

 

존슨은 “이런 업체들에게 P2P에 데이터가 유출됐다는 사실을 처음 알리면, 대부분이 불신하거나 핑계거리를 만들기에 급급했다”라고 덧붙였다. jvijayan@computerworld.com



X