의료정보의 보안 최봉철 이근호 윤영상 대건국.

Slides:



Advertisements
Similar presentations
침입 방지 시스템 (IPS) 최정환 남영석 방철규 전인철 조용진.
Advertisements

경영학과 이은지 경영학과 윤혜리 경영학과 이지은 경영학과 유승연 경영 성공사례 분석.
1 ‘ 우리나라의 주요공업 ’ - 정도웅, 주민혁, 안수진, 백경민, 엄다운, 박경찬 -.
전산 OA 장비 전산 OA 장비 유지보수 제안서 유지보수 제안서 ㈜정일정보시스템 고객사 귀중
수유부의 약물복용 시 주의점 발표자 조기성. 모유 수유의 장점 모유 수유의 장점은 ? 위장관 질환 발생감소 영아 돌연사 발생감소 아토피 질환 발생감소 정서적 안정.
지금 우리 지구는 HOT, HOT 에너지자원. 아이스에이지 2 시청 초 1-11 기후변화의 주된 원인인 지구 온난화 현상을 알고 온실가스의 영향을 실험을 통해 확인할 수 있다. 학습목표 초 1-11.
Intrusion Detection System( 침 입탐지시스템 ) Wireless/Mobile Network Lab 박준석.
8 사이버 윤리와 보안.
미국의 미디어교육 신문방송학과 강진구 한인수 곽모란 이명현.
C.I.A (Cyber Information Analyzer) C.I.A (Cyber Information Analyzer)
ch19–9. 악의적인 소프트웨어 - Malicious Software -
제 8장 데이터 보안.
상품권 개발 계획서.
영상 광고사업 추진계획 2010 ㈜ 지오피스
안성시의 관광객 유치를 위한 바우덕이 활용 방안 관광경영학과 이윤지.
악성 코드 정보 보안 개론 6장.
공부할 내용 조상들이 살던 곳 자연과 잘 어울리는 한옥 지방에 따라 서로 다른 집의 모양 섬 지방의 집
HACKING 김진수 소준형 유병화.
사랑, 데이트와 성적 자율성 :데이트 성폭력!!! 성폭력예방교육 전문강사 / 여성학 전공 신 순 옥.
제 11장 컴퓨터 보안.
퇴계와 율곡의 사회사상 비교 남 일 재 동서대학교 교수/ 정치학 박사 1. 퇴계 이황과 율곡 이이의 약전(略傳)
보안 시스템 정보 보안 개론 10장.
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
웹사이트 구축 제안서 (결혼정보 사이트구축) First Web Agency.
ORAS 온라인 채용대행 솔루션 제안서 (Online Recruiting Application Service)
501. 군인들의 세상 502. 민정 이양과 한일회담 이선용.
2015년 하반기 소방교육 자 유 전 공 학 부 (금) 안녕하십니까 자유전공학부 행정실 입니다.
Copyright © SG Research Institute Inc. All rights reserved.
Samsung Securities SECURITIES.
Internet 및 EC 관련 기술들.
Chapter 01. 정보 보안의 세계 : 과거와 현재의 보안 전문가
HDD 보안장치 소개 ㈜ 세 코 원
네트워크 Level의 기술적 보호조치 엘림넷 정보기술사업팀 장웅.
Section 컴퓨터 관리와 인터넷 윤리.
차트와 SmartArt 슬라이드 작성하기 송종훈.
물류정보시스템 전북대학교 김 선곤.
Network Security Footprint & Scan.
침입탐지시스템과 정보보안 안
네트워크 보안 3 오 세 종.
3. 위험관리.
12-4 바이러스, 인터넷 웜 12-5 방화벽 12-6 침입탐지 시스템 발표자 : 김진태.
1. 침입탐지시스템(IDS) 침입탐지시스템의 구성 Network Base IDS Host Base IDS
FireWall / VPN Solution
1조 김성수 백현기 석광우 김지원 박광연.
Ch20_유비쿼터스 정보보호 기술 동향 국내 정보보안 기반 기술은 정부 및 구제 표준화 기구를 중심으로 주로 초경량 암호/인증 기술, 사생활 보호 기술 개발에 주력중이다.
충북인력개발원 정보통신과 교수/공학박사 강원찬
정치개혁의 가능성 논의 권력구조 개편을 통하여 본 -개헌을 통한 정부형태의 변화를 중심으로 [한국정치론] 윤성이 교수님
온라인 원서접수 ClickWonseo Plan
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
Chapter 11 Software flaws and malware
Linux Security (리눅스 소개)
바이러스와 악성코드.
치료 레크레이션 프로그램 (지적 장애 대상) 과 목: 학 과: 학 번: 이 름: 제 출 일 자 담 당 교 수:
Chapter 01. 정보 보안의 세계 : 과거와 현재의 보안 전문가
골프연습장 사업계획서 남산골프연습장 Best golf training center.
노년기 발달 장안대 행정법률과 세류반 정 오 손
회계감사 박 한 순.
태국 문학 욜라다 왓짜니 싸란차나 팟차라와라이 끼따야펀 르앙다우 타니다.
과목명 : 산업보안사례 담당교수 : 김동련 교수님 발표일 : 학번 : 이름 : 권이슬
해킹의 정의와 역사 해킹의 정의 해킹의 유형 해커의 분류 해킹의 역사 해킹 기술의 변천.
Chapter 3. Public Key Infrastructure
세일즈의 원칙과 기술.
Convergence Security 융합보안학과 17학번 이재승.
1부 해킹이란… Chapter 2. 윤리적 법적 문제
워밍업 실뭉치 전달게임.
음파성명학 최종욱.
입점 제안서 (대학병원 건물).
한국 휴렛팩커드/고객지원사업본부/IT 기술사업부 박기영
Data Compression 데이터 압축:음성, 비디오, 팩시밀리 전송등과 같은 경우에 중요
그 새로움과 효과적인 비용감소및 판매 마케팅 전략
Presentation transcript:

의료정보의 보안 최봉철 이근호 윤영상 대건국

1. 의료정보 보안의 중요성 유비쿼터스 컴퓨팅 환경의 조성, 광대역 통합 망의 구축 등 통합 유무선망을 통하여 보건의료 정보화 의료기관의 규모에 상관없이 진료 및 원무 업무수행에 필요한 각종 정보시스템을 도입하여 활용하고 있으며, 의료기 관내 및 의료기 관간 인터넷을 통한 의료정보의 전송 및 공유, 활용이 증가 개인의료정보정보 접근 및 유출, 진료정보 및 개인정보의 손실이나 파손, 진료정보의 일시적 손실이나 접근불가, 환자 안전에 대한 위협 등과 같은 개인정보 보호 위험이 발생

2. 의료정보시스템의 취약성과 컴퓨터 범죄 1) 정보보안 관련 용어 ▶ 백업(backup) : 안전한 장소에 데이터나 프로그램의 원본을 복사하여 보관하기 또는 보관한 복사본 ▶ 복호화(해독)(decoding) : 수신한 암호문을 읽을 수 있는 평문으로 전환하는 행위 ▶ 암호화(encryption) : 평문을 다른 사람이 해독할 수 없도록 암호문으로 전환하는 행위 ▶ 노출(exposure) : 정보시스템이 잘못되었을 때 발생할 수 있는 손실위험 ▶ 고장허용능력(fault tolerant capacity) : 정보시스템이 고장에도 불구하고 계속 작동되는 능력·정보시스템통제(information system control) : 시스템이 계획 대로 수행 또는 작동되도록 하는 관리절차 ▶ 데이터의 무결성(data integrity) : 데이터의 정확성, 완전성, 신뢰성 등 데이터의 품질 을 포괄적으로 총칭하여 보증함

1) 정보보안 관련 용어 ▶ 위험(risk) : 위협 이 구체화되는 정도 ▶ 위협(threat : 시스템에 노출되는 여러 가지 위험들 ▶ 취약성(vulnerability) : 존재하는 위협에 의하여 시스템이 용이하게 해를 입을 수 있는 정도 ▶ 해커(hacker) : 컴퓨터시스템에 몰래 들어와서 자료를 훔쳐보거나 하는 사람 ▶ 크래커(cracker) : 컴퓨터시스템에 몰래 들어와서 데이터를 파괴 또는 도난, 프로그램을 파괴하는 등 심각한 위해를 가하는 악의적인 해커

2) 의료정보(시스템)의 취약성 많은 구성요소들로 구성 된 의료정보시스템은 여러 장소에 존재하여 사용되며, 이러한 환경에서 의료정보 및 의료정보시스템은 위협에 노출되어 취약성 이 존재 컴퓨터보안연구소(computer security institute)는 컴퓨터 관련 문제들의 약 30% 가 고의적인 위협 ▶ 고의적인 위협 - 데이터의 절취 - 데이터의 부적절한 사용 또는 조작 - 컴퓨팅 시간의 절도 - 장비나 프로그램의 절취 - 입력/처리/전송중인 데이터의 고의적 인 조작 - 바이러스를 이용한 파괴 또는 공격

2) 의료정보(시스템)의 취약성 ▶ 비 고의적인 위협 - 사람의 오류 : 시스템의 개발 및 인증과정, 자료의 입력 및 출력 등에서 사람의 오류가 발생하며 전체 보안문제의 55%정도 차지함 - 환경의 위험 : 지진, 홍수, 우연한 전력공급의 중단, 화재, 냉방장치의 고장 등으로 인해 발생 - 정보시스템의 실패 : 하드웨어 또는 소프트웨어의 문제로 발생되며, 경험부족, 부적절한검사 등과 같은 요인들이 주된 원인

3) 컴퓨터 범죄 네트워크 환경의 가속화, 컴퓨터 사용의 확산 및 사용 용이성 둥으로 인하여 컴퓨터 기반의 정보시스템은 많은 사회적 및 개인적 편익을 제공함에도 불구하고 새로운 문제점을 야기함. 컴퓨터 범죄는 크게 4가지 유형으로 분류할 수 있다. ① 컴퓨터시스템이 범죄의 대상이 될 수 있고, 컴퓨터가 도난 당하거나 물리적으로 파괴될 수 있으며, 바이러스가 침투하여 데이터 또는 소프트웨어를 파괴할 수 있다. ② 컴퓨터시스템은 범죄나 사기를 유발할 수 있는 환경을 형성하여 공격의 수단으로 활용할 수 있다. ③ 범죄의 도구로서 컴퓨터시스템을 사용할 수 있다. ④ 위협 또는 기만하기 위하여 컴퓨터를 사용할 수 있다

3. 컴퓨터 바이러스 1) 역사 및 개념 다른 프로그램에 복제 시키고, 경우에 따라서는 컴퓨터시스템을 공격할 수 있는 능력을 가진 프로그램을 ‘컴퓨터 바이러스 (computer virus)’라고 한다. 컴퓨터 바이러스는 1972년 데이빗 제롤드의 공상과학소설에 처음으로 등장한 개념 이며, 1970년 대 초에 처음으로 'Creep 바이러스’가 ARPANET 상에서 발견되었다. 1974년에 다른 장치에 감염되어 시스템의 성능을 저하시키는 ‘Rabbit 바이러스’가 발견되었으며, 1980년대에 들어서면서 많은 컴퓨터 바이러스들이 출현하여 서버컴퓨터의 데이터를 파괴하거나 악의적 인 사건들을 야기하였다.

1) 역사 및 개념 1980년대 초에는 실험적 목적으로 컴퓨터 바이러스를 개발함. 1983년 미국의 남가주대학교의 대학원생인 Fred Cohen 등에 의하여 실험을 통하여 바이러스 프로그램의 출현과 위험성을 경고하고 대응책 수립을 주장 1988년 파키스탄의 브레인 바이러스와 이스라엘의 예루살렘 바이러스 등 처음으로 다른 시스템을 공격하기 위한 목적을 가진 바이러스가 발견됨. 1990년대에는 악의적으로 개발되어 유포되는 컴퓨터 바이러스가 급증 이러한 추세에 대응하기 위하여 이를 퇴치하거나 감염을 방어하는 백신 소프트웨어가 등장하였다.

1) 역사 및 개념 컴퓨터시스템 공격 방법 방 법 내 용 바이러스 (virus) 사용하는 프로그램에 은밀하게 삽입하여 데이터를 방 법 내 용 바이러스 (virus) 사용하는 프로그램에 은밀하게 삽입하여 데이터를 파괴하거나 변경, 프로그램의 사용을 방해하는 명령문 웜 (worm) 자신을 복제하여 컴퓨터시스템에 침입하는 프로그램 트로이 목마 (trojan horse) 특정한 사건이 발생 시까지 잠복했다가 불법 프로그램을 활성화시켜 작업을 방해하거나 해를 끼치는 프로그램 살라미 테크닉 (salami technique) 여러 거래 또는 계좌에서 아주 작은 금액을 몰래 훔쳐가도록 설계된 프로그램 운영자로의 위장 운영자만 허용하는 접근통제를 무사 통과할 수 있는 유틸리티 프로그램(zap)을 사용하는 방법 트랩도어 (trap door) 프로그램 코드에 침투하여 추가적인 명령문을 삽입할 수 있도록 하는 기법

1) 역사 및 개념 논리 폭탄 (logic bomb) 지연된 악의적인 행동을 촉발시키는 명령문 서비스 거부공격 (denial of service) 웹사이트의 서비스 기능을 마비시킬 정도의 아주 많은 서비스를 요청 스니퍼 (sniffer) 인터넷을 통과할 때, 데이터 패킷에 있는 비밀번호나 내용을 찾는 프로그램 스푸핑 (spoofing) 전자메일 주소, 웹페이지 등을 이용하여 사용자들이 정보를 제공하거나 송금하도록 속이는 행위 패스워드 크래커 (pasword cracker) 비밀번호를 추측하여 알아내려는 크래커 워 다이얼링 (war dialing) 비밀번호를 알아낼 목적으로 수 천개의 전화번호를 자동으로 다이얼링하는 프로그램 백도어 (back door) 시스템 침입자들이 시스템에 접근할 수 있도록 몰래 만들어 놓은 길 (root)

2) 컴퓨터 바이러스의 감염경로 및 증상 ▶ 감염경로 - 여러 사람이 공동으로 사용하는 소프트웨어, 통신망, 인터넷 등 - 정보통신시스템에서 바이러스의 감염경로는 매우 다양하고 복잡한 구조를 가짐. - 일반적인 경로는 불법 복사한 소프트웨어, 컴퓨터 통신, 공동으로 사용하는 컴퓨터시스템, LAN, 인터넷 등 - 불법 복제한 소프트웨어 외장형 저장장치 등을 사용하거나, 여러 사람이 공동으로 사용하는 컴퓨터에서 작업하면 바이러스 감염의 가능성이 높음. - 컴퓨터 통신 이용률이 높아지면서 이를 통해 자료를 주고받을 때 빠른 속도로 바이러스가 확산되기도 함.

2) 컴퓨터 바이러스의 감염경로 및 증상 ▶ 감염증상 - 컴퓨터 기동시간이 평소보다 오래 걸리거나, 기동 자체가 되지 않으며, 프로그램이 실행되지 않거나, 프로그램을 실행시키는 시간이 평소보다 오래 걸림. - 화면에 이상한 글자가 나타나거나, 프로그램의 날짜 또는 파일의 이름이 바뀌는 등의 증세가 나타남.

3) 컴퓨터 바이러스의 종류 < 감염 부위에 따른 분류 > ◆ 부트(boot) 바이러스 시스템이 부팅되는 과정을 이용하여 플로피와 하드 디스크의 부트 영역에 감염된다. 대부분의 초기 바이러스들이 여기에 속한다

3) 컴퓨터 바이러스의 종류 < 감염 부위에 따른 분류 > ◆ 파일(File) 바이러스 파일 자체가 실행되는 과정을 이용하여 COM, EXE, SYS 파일 등에 감염된다. 전체 바이러스의 90% 이상이 파일 바이러스로 구분된다. (예 : CIH, Win95/CIH, Win32/Kriz, Win32.-FunLove.4099 등) ◆ 메일 바이러스 인터넷상에서 사용할 수 있는 e-메일 검색 프로그램들이 기본적으로 VBScript나 JavaScript 등을 자동적으로 실행한다는 점에서 착안하여 만들었으며 e-mail을 통하여 전파된다. 감염된 e-mail을 개봉하여 사용할 때 작동이 된다.

3) 컴퓨터 바이러스의 종류 < 감염 부위에 따른 분류 > ◆ 매크로 바이러스(Macro virus) 1996년 여름에 처음으로 발견된 매크로바이러스는 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서파일이다. 응용 프로그램에서 사용하는 매크로의 사용을 통해 감염되는 형태로 매크로를 사용하는 문서를 읽을 때 감염 된다는 점이 이전 바이러스들과는 다르다. 최근에는 문서 파일만이 아닌 실행 파일과 디렉토리까지 파괴하는 새로운 매크로 바이러스도 출현하였다. (예 :097M.Shiver.A, XM/Laroux, W97M.Class, W97M.Melissa.A 등)

3) 컴퓨터 바이러스의 종류 < 운영체제에 따른 분류 > ◆ 도스 바이러스 일반적인 부트, 파일, 부트/파일 바이러스는 대부분 도스용 바이러스이다. 감염 부위에 따라 부트, 파일, 부트/파일 바이러스로 나뉜다. 80년 중반 이후부터 90년 중반까지 약 10년 간 왕성 한 활동을 하던 도스용 바이러스는 윈도우95의 등장으로 주춤한 상태다. 여전히 원숭이,Anti-CMOS, ONE-Half 바이러스가 기승을 부리고 있다. ◆ 윈도우 바이러스 도스 기능을 사용하는 윈도우 바이러스로 1994년 처음 등장한 윈도우 바이러스는 1997년부터는 컴퓨터를 이용하는 최대 바이러스로 부상했다. 또한 바이러스 제작 기법과 전파 기법도 매우 다양해지고 있다. 전자우편으로 바이러스를 전송하는 기법은 이들 윈도우 바이러스들에서 처음 사용되었다. 대표적 인 것으로는 Win95/CIH, Anxiety_Poppy, Win95/Marburg, Win95/Padania, Win32/Parvo 등이 있다.

3) 컴퓨터 바이러스의 종류 < 운영체제에 따른 분류 > ◆ 유닉스, 리눅스, 맥, 0S/2 바이러스 Linux와 0S/2용 으로도 바이러스가 존재하지만 이들 바이러스는 일반에 퍼지지는 않고 대부분 겹쳐 쓰기 정도에 이들 OS에 서도 바이러스를 제작할 수 있다는 증명을 한 정도의 수준에 머무르고 있다. 하지만, 이들 OS도 사용자가 증가한다면 새로운 바이러스가 등장 할 가능성은 매우 높다. (예) Linux/Bliss, Mac/Autostart 와 같은 것 ◆ 자바 바이러스 현재 발견된 Java 바이러스는 2종정도 된다. 최초 자바 바이러스는 1998년 여름 발견 되었다. 이들 바이러스 역시 자바가 디스크에 접근권한이 있어야만 하며 자바 애플릿이 아닌 자바 애플리케이션을 감염 시킨다. 대부분의 시스템 에서는 자바가 디스크에 접근하지 못하게 설정되어 있는 등 제약이 있으므로 이들 바이러스 역시 일반인에게는 크게 문제가 되지 않는다. (예) Java/BeanHive, Java/StrangeBrew 등

4)최근 컴퓨터 바이러스의 특징 최근 컴퓨터 바이러스는 매우 빠른 전파력을 지니고 있으며, 특히 이메일 바이러스의 스팸 메일화는 급속한 전파를 초래한다. 초기의 이메일 바이러스는 비교적 간단한 형태의 제목, 본문, 첨부파일을 지닌 형 태였으나, 클레즈웜 변종(Klez.H)의 경우, 매우 다양한 제목과 본문, 첨부파일명을 지니고 전파되어 일반 사용자들이 실제 메일과 구별하기가 어려웠고 메일 필터링 기능을 통한 예방에도 한계가 있다.

4)최근 컴퓨터 바이러스의 특징 ◆ 백신 공격형 웜의 증가 컴퓨터바이러스를 예방하기 위하여 개발되어 사용 중인 백신프로그램을 공격 하는 ‘공격형 웜'이 증가하는 추세이다. 즉 백신관련 프로그램을 삭제 또는 그 기능을 중지하여 백신으로부터 자기 자신을 탐지 못하게 하는 백신공격형 웜 이 증가하고 있다. 듀니(Duni), 와가(Warga)와 같은 빠른 전파력과 무서운 파괴력을 지닌 웜바이러스가 출현하고 있으며, 하나의 파일 안에 트로이목마나 웜 등이 포함된 복합형 웜 바이러스들이 출현하여 웜의 전파기능과 바이러스의 파괴력을 지닌다. (예) 엘컨(Elkerm), 테카타(Tecata), 엠티 엑스(MTX), 매지스트리(Magistri) 등

4)최근 컴퓨터 바이러스의 특징 ◆ 윈도우 취약점 공격형 웜 증가 바이러스 제작자들의 공격 기법 이 날로 지능화되고 제작기술이 고도화되면서, 응용 프로그램에 존재하는 취약점을 공격 대상으로 하는 해킹 기법의 공격 형 웜들이 많이 나타나고 있다. 특히 취약점을 많이 지니고 있는 윈도우시스템을 주로 공격하는 웜들이 많이 증가하고 있다. (예) 슬래머(Slammerr), 스피다(Spida), 코드레드(CodoRed), 님 다(Nimda) 등

4)최근 컴퓨터 바이러스의 특징 ◆ 정보유출형 인터넷 웜의 지속화 시스템정보 혹은 엑셀이나 워드문서와 같은 것을 선택 후 자체 메일을 통하여 정보를 유출하는 형태의 웜 이 사라지지 않고 있다. (예) 곱(Gop), 써캠(Sircam) 등

5) 컴퓨터 바이러스에 대한 대응 (1) 직접적인 대응책 안전한 프로그램으로 정품 소프트웨어는 바이러스를 가지고 있지 않지만 불법 복제 소프트웨어를 복사하는 과정 에서 바이러스가 침투할 위험성 이 높다. 타인으로부터 파일을 복사하거나 인터넷으로 내려받은 프로그램을 설치하고 실행할 때는 반드시 바이러스 검사를 실시하여야 한다. 가능한 자주 백신 프로그램으로 시스템에 바이러스의 감염여부를 검사하여 조기에 대응하고 확산을 방지하여야 한다.

5) 컴퓨터 바이러스에 대한 대응 (1) 직접적인 대응책 ◆ 컴퓨터시스템이 바이러스에 감염되었을 경우 깨끗한 부팅 디스크로 부팅한다. 최신 버전 백신 프로그램으로 바이러스를 치료한다. 치료 후에도 바이러스가 지속적으로 발생하면 컴퓨터의 모든 자료파일을 백업 받고 포맷하는 것도 좋은 방법 이다. 대부분의 바이러스가 실행 파일에 감염되므로 자료파일의 경우 백업을 하더라도 큰 지장은 없다.

5) 컴퓨터 바이러스에 대한 대응 (2) 관리적인 바이러스 대응 관리적인 차원에서 예방 및 퇴치 활동에 대한 경각심을 고취하여 일상적으로 대응하도록 하여야 한다. 조직구성원들에게 컴퓨터 바이러스의 위험성에 대해 정기적으로 교육 및 홍보하고, 컴퓨터 바이러스에 대한 경각심을 고취시킨다. 상주형 바이러스 예방 및 퇴치 프로그램을 실행시킨다. 모든 외부프로그램은 조직 내 시스템에 직접 접촉할 수 없도록 통제한다. 허가되지 않은 사람은 시스템에 접근할 수 없도록 한다.

(2) 관리적인 바이러스 대응 불법복사 프로그램을 사용하지 않도록 한다. 시스템에 있는 파일은 바이러스 진단 프로그램을 사용해서 주기적으로 점검한다. 중요한 프로그램이나 자료는 항상 백업을 하고, 파일의 원본 혹은 백업본은 별도의 독립된 장소에 보관해야 한다. 중요한 파일내용의 변경은 반드시 여러 단계의 엄격한 통제과정을 거치게 한다.

4. 의료정보시스템 안전관리 1) 안전 관리의 필요성 오늘날과 같이 시스템규모가 커지고 응용분야가 다양해지고 인터넷망을 통한 용이한 접근성 등은 사고의 발생건수도 증가시키고 그 규모도 대형화를 가능하게 하고 있다. 컴퓨터 사고는 일단 사고가 발생하면 피해가 크고 치명적일 수 있으며 복구에 많은 시간과 노력이 소요되며, 노출되지 않는 기술 및 운영상의 사고가 많고 쉽게 발견되지 않으며 증거인멸이 가능한 특징 이 있으므로 의료정보 및 의료정보시스템에 대한 여러 차원의 안전관리가 필요하다.

2) 안전관리의 유형 및 대책 ◆ 물리적인 안전관리 컴퓨터시스템의 입지를 지진, 번개, 홍수, 강력한 자장 등 자연환경으로부터 피해 를 최소화하는 장소로 선택 자연재해 발생을 대비하여 긴급대피소, 소방통로 및 방화시설 등이 충분하게 마련 시스템의 중요한 구성요소나 부품등에 장애 발생을 대비하여 중요 파일을 정기적으로 백업, 핵심하드웨어 부품을 예비적으로 확보 가급적 불특정 다수의 출입가능 장소와는 격리 출입구를 하나로 제한하고 출입자 통제장치를 설치

2) 안전관리의 유형 및 대책 ◆ 통신의 안전관리 비밀 성 또는 기밀성(confidentiality) : 시스템에 대한 불법접근을 통제하여 중요한 데이터가 비인가자에게 노출되지 않도록 하는 것이며, 그 대책으로는 접근 통제와 암호화가 있다. 무결성(integrity) : 인가된 사용자만 데이터의 변경, 삭제, 생성 이 이루어지도록 하여 자료의 정확성, 안전성 둥 품질을 유지하고자 하는 것이며, 무결성을 높이기 위해서는 물리적 통제와 접근 통제, 그리고 무결성 침해를 탐지하는 기법 등을 적용할 수 있 다.

2) 안전관리의 유형 및 대책 ◆ 통신의 안전관리 인증 성(authenticity) : 통신을 이용하는 실체가 합법 적 이고 정 당한 실체인가를 확인하는 것이며, 정당하지 않은 사용자의 접근을 차단해야 하며, 접근결과의 기록도 사후관리를 위해 필요하다. 가용성(availability) : 시스템이나 데이터는 허가된 사람에게는 효율적으로 사용할 수 있도록 제공되어야 한다. 즉 정보가 손상되지 않고 항상 획득이 가능하도록 백업, 중복성 유지, 물리적 보안 등이 이루어지도록 하여야 한다.

2) 안전관리의 유형 및 대책 ◆ 소프트웨어의 안전관리 소프트웨어의 불법 접근은 파일의 불법유출이나 프로그램의 삭제, 변경 등 발견이 힘들고 증거인멸이 용이한 점 등으로 인해 적절한 대처가 매우 어렵다. 소프트웨어 개발에 있어 사용자 편의성을 증대하고자 하는 노력은 이러한 안전관리의 필요성을 증대 시킨다. ◆ 데이터의 안전관리 데이터의 안전성 문제는 소프트웨어 보다 더 심각하다. 소프트웨어는 재구축이 가능하지만 데이터의 변경은 데이터 자체의 신뢰성에 타격을 입어 심각한 피해를 보게 된다. 데이터 관리는 백업과 암호화를 정기적으로 점검해줘야 된다.

3) 비상계획 (contingency plan) ① 비상 관리조직 : 비상계획의 핵심요소인 대피, 복구 및 정상상황으로의 회복을 중심으로 조직의 모든 영역에 걸친 기능을 수행하는 조직. ② 비상 정보처리 : 평상시 백업 및 비상시 대체 정보처리시설의 확보 평상시 백업 작업은 성공적 인 비상계획 가운데 하나. 데이터나 고유의 응용프로그램은 다른 장비나 시설과는 달리 비상시에 대체하기가 어렵기 때문. ③ 정보시스템의 복구 : 데이터가 손상된 경우에는 백업 데이터를 이용해 데이터를 복구하고, 정보시스템 자체가 손상되었다면 새로운 장비를 도입하여 대체 정보처리시설에서 복구된 시설로 이동해 원래의 정보처리 환경을 신속하게 재 구축. ④ 비상계획의 점검 : 수립된 비상계획의 미비점을 식별하여 조치하고, 비상사태 발생시 구성원의 대처능력과 자신감을 높여주기 위한 것으로 적어도 1년에 한번 이상 정기적으로 실시하는 것 이 필요하다.

3) 비상계획 (contingency plan) 종합적인 정보시스템 비상계획의 유형 핫 사이트(hot site) : 기존의 정보처리시설과 동일한 하드웨어와 부수장비 및 통신망 등을 갖추고 있다. 웜 사이트(worm site) : 주 컴퓨터는 없지만 통신망과 보조장비 등 하드웨어를 부분적으로 보유하고 있다. 콜드 사이트(cold site) : 정보처리시설을 가동하기 위한 장소만을 제공한다. 오프라인 업무처리 준비 : 최악의 경우 정보시스템의 지원 없이 업무처리가 가능하도록 비상업무처리계획을 마련해 두는 것도 필요하다.

5. 보안과 통제를 위한 기술 빛 도구 1) 방화벽 통신망을 통하여 불특정 다수의 접근이 가능해 지고 그에 따른 해킹이 점차 증가하고 있기 때문에 안전하게 보호되어야 하는 컴퓨터자원은 외부의 불법적인 침입으로부터 보호되어야 한다. 그러므로 외부에서 보호되어야 할 네트워크에 접속하려고 할 때 적절한 사용자인지를 확인하는 방화벽을 통과하도록 하고 있다. 방화벽의 유용성에도 불구하고 전자메일에 첨부파일 형태로 숨겨진 바이러스는 방화벽을 통과할 수 있다.

2) 침입 탐지시스템 침입 탐지시스템 (IDS : Intrusion Detection System)은 인터넷 또는 인트라넷 접근점에서 네트워크상의 의심스러운 트래픽 및 파일과 데이터베이스에 대한 접근시도를 상시적으로 탐지하고 침입을 예방하기 위한 시스템으로 통신망의 가장 취약한 지점 또는 위험장소(hot spot)에 위치하여 통신망을 실시간으로 감시한다.

3) 안티바이러스 소프트웨어 개인과 조직 모두를 위한 보안기술계획은 모든 컴퓨터시스템에 안티바이러스 소프트웨어(antivirus software)를 설치하여 항상 활용하는 것이다. 안티바이러스프로그램은 컴퓨터시스템, 내장형 및 외장형 장기저장장치 (하드디스크, 메모리스틱 등), 통신망을 통하여 들어오는 정보 및 파일 등에 바이러스의 존재여부를 확인하고 제거하도록 제작되었으나 부분의 안티바이러스 소프트웨어는 제작당시에 알려진 바이러스에 대하여만 활용 가능하므로 계속적으로 갱신(update)하여야 한다.

4) 암호화 < 암호화의 목적의 3가지 > 신원조회 : 정보통신환경 에서 적법한 송신자와 수신자를 식별한다. 통제 : 정보의 송수신과정에서 거래정보나 메시지의 변경을 방지한다. 사생활 보호 : 송수신하는 정보의 내용이 도청되거나 노출되었을 때 개인의 사생활이 드러나지 않도록 한다.

5) 전자서명 전자서명(digital signature)은 메시지의 출처와 내용을 입증하기 위하여 전자적으로 전송 가능한 메시지에 첨부하는 디지털 코드이다. 전자서명 이 합법적으로 인정받으려면 그 서명이 데이터를 보낸 누군가에게 실제로 속해 있다는 것과 전자적으로 서명된 이후 변경되지 않았다는 것이 증명될 수 있어야 한다.

6) 전자인증서 전자인증서(digital certificate)는 사용자의 신원과 온라인 거래의 보호를 위하여 사용되는 데이터 파일이다. 디지털 인증시스템은 사용자의 신원을 입증하기 위한 인증기관으로 공인된 기관에서 운영할 수 있다. 전자인증서는 공인된 디지털 인증기관이 공개키 기반으로 신원을 온라인으로 확인하여 발급하며, 이를 발급받은 사용자는 자신의 개인키를 입력함으로써 전자인증서를 사용할 수 있다.

6. 정보사회의 사생활보호와 윤리 1) 사생활 침해와 보호 ◆ 보건복지부에서 추진하는 건강정보보호 관련 법률의 주요내용 건강기록의 열람, 사본교부 및 정정 절차에 관한 근거 건강기록생성 기관 간 건강기록 교류에 관한 근거 건강기록의 제공 및 수집에 대한 보호조치 건강정보보호에 관한 사항을 심의하기 위하여 건강정보보호위원회를 설치·운영에 관한 내용 건강기록 보호지침을 정하여 고시할 수 있는 근거

1) 사생활 침해와 보호 건강기록생성 기관 및 건강기록취급기관의 건강정보보호수준을 평가할 수 있는 근거 건강정보의 체계적 관리, 운영을 위한 기본계획 및 시행계획을 수립하여 시행하고, 이를 심의하기 위한 건강정보 운영위원회의 설치, 운영에 관한 내용 정보기술을 활용한 건강관리 체계 개선을 위하여 필요한 표준을 고시 ·권고하고, 이를 인증할 수 있는 근거 건강정보보호 및 관리, 운영에 필요한 시책을 효율적으로 추진하기 위한 건강정보보호 진흥원의 설립에 관한 내용

2) 개인정보보호를 위한 7계 명 ① 회원 가입시 서비스 약관을 꼼꼼히 읽어 본다. ② 정체 불명의 스팸 메일에는 반드시 수신 거부의사를 밝힌다. ③ 정보의 수집 목적과 이용 목적 이 구체적 이고 명확한지 확인한다. ④ 개인 정보 관리 책임자가 누구인지 꼭 확인한다. ⑤ 가입하기 전에 탈퇴 방법에 대한 설명이 있는지 확인한다. ⑥ 탈퇴하면 개인 정보를 파기하는지 확인한다. ⑦ 정보가 유출되었다고 의심 되면 관련 기관이나 단체에 신고한다.

3) 정보화사회의 도덕적 영역 정보시스템에 의하여 발생되는 중요한 윤리적, 사회적, 정책적 이슈들이 제기되고 있으며, 이들을 5가지 영역으로 분류할 수 있으며 이들에 대하여 충분한 생각과 토의가 이루어져야 한다. ① 정보 권리의 의무 : 개인과 단체들은 자신들의 정보에 대하여 어떠한 권리를 갖는가? 그들이 보호할 수 있는 것은 무엇인가? 이러한 정보에 대하여 개인과 단체들은 어떠한 의무를 갖는가? ② 재산권과 의무 : 소유권에 대한 추적과 계산이 어렵고 무시되기 쉬운 디지털 사회에서 전통적인 지적 재산권이 어떻게 보호되어야 할 것인가?

3) 정보화사회의 도덕적 영역 ③ 책임과 통제 : 개인 또는 공동의 정보 및 재산권에 대한 피해는 누가 책임져야 하는가? ④ 시스템 품질 : 개인의 권리와 사회안전을 위하여 데이터 및 시스템의 어떠한 품질이 요구되는가? ⑤ 삶의 질 : 정보 또는 지식 기반의 사회에서 어떠한 가치들이 지속적으로 의미를 갖는가? 어떠한 문화적 가치와 관습들이 새로운 정보통신기술에 의하여 지지될 수 있는가?

4) 윤리적인 이슈의 분석 단계와 윤리적인 원칙들 의료정보와 관련하여 윤리적 인 이슈들을 당면할 때 다음의 5단 계 과정이 도움을 줄 수 있다. ① 사실들을 명백하게 확인하고 설명하라. ② 분쟁 또는 난관(dilemma)을 정의하고 상위의 가치관을 확인하라. ③ 이해관계자들을 확인 하라. ④ 합리적 인 방법으로 선택대안을 확인하라. ⑤ 선택대안에 대한 잠재적 인 결과를 확인하라.

5) 네티켓의 기본 원칙 ① 인간임을 상기하라. ② 실제 생활에 적용된 것처럼 똑같은 기준과 행동을 고수하라. ③ 현재 자신이 어떤 곳에 접속해 있는지 알고 그 문화에 어울리게 행동하라. ④ 다른 사람의 시간을 존중하라. ⑤ 온라인상의 당신 자신을 근사하게 만들어라.

5) 네티켓의 기본 원칙 ⑥ 전문적 인 지식을 공유하라. ⑦ 논쟁은 절제된 감정 아래 행하라. ⑧ 다른 사람의 사생활을 존중하라. ⑨ 당신의 권력을 남용하지 말라. ⑩ 다른 사람의 실수를 용서하라.

Thank You ~ ♡