복잡한 HIPAA(Health Insurance Portability and Accounting Act of 1996)규정을 따르기란 쉬운 일이 아니다. 사실 HIPAA 표준 준수는 최근 몇 년 동안 IT 조직의 가장 중요한 근심거리라고 해도 과언이 아닐 지경이며, 이제 HIPAA의 물리적 안전조치(phisical safeguard) 표준안을 준수하는 데 대해 진지하게 생각해 봐야 할 시점이다.

HHS(U.S. Department of Health and Human Services) 규정이 곳곳에 박혀 있는 다면적 법안인 HIPAA는 의료업계의 전자데이터 프로세싱 이용을 촉진시키는 동시에 PHI(Protected Health-care Information) 공개를 규제하기 위해 만들어졌다.
여기에 해당되는 조직들로는 의료사업자, 의료계획, 메디케어 및 메디케이드 프로그램(Medicare/Medicaid program), 그리고 환자의 데이터를 전자적으로 처리하는 의료정보센터(Health-care Clearinghouse) 등이 있다. 이런 기관들을 지원하는 IT 조직은 최종 HHS에서 내놓은 최종적인 프라이버시 및 보안 규정을 준수해야만 한다.
이를 돕기 위해 우리는 물리적 안전조치(physical-safeguard)에 대한 표준을 충족시키도록 만들어진 하드웨어와 소프트웨어 제품을 살펴봤다. 물리적 안전조치란 전자 정보 시스템을 자연적 및 환경적 위험뿐만 아니라 침입자에 의한 무단 액세스 등으로부터 보호하는 보안 조치와 여기에 관련된 장비 및 건축물을 말한다.

‘특별한 방법은 없어요’
HIPAA는 그 규모가 방대해서 어떤 한 업체가 전체 법안을 다 준수하게 해줄 수는 없다. 섀니아 트웨인이 부른 ‘특별한 방법은 없어요(ain’t no particular way)’란 노래가 바로 이 법안의 보안 표준을 충족시키는 데 있어서도 똑같이 적용된다. 의회에서는 기술이 진보함에 따라 새로운 시스템을 수용할 수 있게 하기 위해서 뿐만 아니라, 의료 사업자들이 서로 다 다르다는 사실을 잘 알고 있기 때문에 HIPAA를 기술 중립적으로 만들었다.
의료사업자는 보안 위험과 이런 위험을 완화시키는 데 필요한 전략에 있어 서로간에 다 다르다. 사업자의 보안 셋업은 제품의 가격과 PHI를 유지하기 위한 사업자 기록 시스템의 기술적인 역량에 따라 크게 좌우된다.
하지만 크기 또한 문제가 된다. 예를 들어 큰 병원에 잘 맞는 솔루션은 작은 사무실에서는 이행하기 적합치가 못하다. 아이덴티티(identity) 관리 시스템은 인증해야 할 다중 사용자들이 있는 병원에서는 효과적이겠지만 한 사람의 지식 근로자만 있는 단독 사업자에게는 그렇지 못할 것이다.
HIPAA 보안 표준에는 아마 ‘필수(required)’, 혹은 ‘권장(addressable)’ 이행 사양들이 포함될 것이다. 필수 사양은 반드시 이행돼야 하는 것을 말하며, 권장 사양은 이들이 조직의 위험 분석과 전체적인 위험 완화 전략의 관점에서 합리적이고 적합할 경우에만 해당되는 것들이다.
물리적 안전조치를 위한 네 가지 표준들로는 설비접근 통제, 워크스케이션 이용, 워크스테이션 보안, 그리고 장비 및 미디어 통제 등이 포함된다. 다시 말해 이런 표준에 따라 조직에서는 다음과 같은 정책과 프로시저를 이행해야 한다.

>> 정보 시스템 및 설비로의 물리적 액세스 제한.
>> 네트워크에 연결된 컴퓨터에 의해 수행되는 적절한 기능 지정.
>> PHI에 액세스하는 컴퓨터를 위한 물리적 안전조치 이행.
>> PHI를 포함하고 있는 하드웨어와 전자 매체의 수령 및 제거 처리.

소규모 사업자들의 경우는 락(lock)과 키(key)를 이용해 컴퓨터, 정보시스템 및 이들 설비로의 액세스를 제한할 수 있다. 그리고 컴퓨터에는 예를 들어 사업자 데이터를 포함하고 있는 중소형 컴퓨터로 접근하는 단 한 가지 기능만을 둘 수가 있다. 마지막으로 중소규모 사무소에서는 문서 감사 로그(paper audit log)를 이용해 장비와 매체의 수령 및 제거를 통제할 수 있다.
한 사업자가 규모와 복잡성이 늘어나기 시작하면 HIPAA 준수에 있어 기술이 생명선이 될 수 있다. 예를 들어 자기 띠(magnetic-stripe) 카스 시스템은 키를 발급하고 추적하는 짐을 덜어줄 수가 있다. 카드 시스템은 설비 내의 방에 접근하는 스태프의 권한과 특권을 상세히 알려줄 뿐만 아니라, 모든 룸 액세스의 감사 추적을 계속할 수 있다. 또한 많은 사무소에서 지금은 다기능 PC를 사용하고 있는데, 이런 PC에서는 직원용의 사용과 기능성을 지시하는 데스크톱 관리 프로그램을 필요로 한다. 마지막으로 자산 관리 프로그램이 PHI를 포함하고 있는 일시적인 장비와 매체를 추적할 수가 있다.
네 가지 물리적 안전조치 표준들 가운데 두 가지(설비 액세스 통제에 관한 것과 장비 및 매체 통제에 관한 것)에는 이행 사양이 포함돼 있다. 한편 나머지 두 가지(워크스테이션 이용과 물리적 보안에 관한 것)에는 사양이 없기 때문에 더 이상 따라야 할 지시가 없다.

설비 및 워크스테이션 액세스
조직에서는 이들의 전자정보 시스템 및 설비로의 물리적 액세스를 제한하기 위한 정책과 프로시저를 이행해야 한다. 이행 사양에는 허가받지 않은 물리적 액세스, 부당변경(tampering) 및 절도로 병원와 같은 대형 의료 사업자들의 경우는 설비 액세스 제어가 키를 발급하고 추적하는 이상으로 이뤄진다. 마겟(Marget)의 엑세스 컨트롤(AccessControl)과 같은 자기 띠 시스템이나, 혹은 심지어 RF 아이디어즈(RF Ideas)의 스마트 카드 시스템까지도 정보 시스템이 포함된 민감한 영역으로의 직원 액세스를 모니터링해준다.
어떤 종류의 카드 시스템이 자신의 필요에 맞을지를 결정하는 데 있어서는 카드 리더(card reader)로부터 떨어진 거리에서 읽을 수 있는 근접식(proximity) 카드가 필요한지, 비접촉식(contactless) 카드가 필요한지 여부를 고려하라. 또한 얼마나 많은 데이터가 카드에 저장돼야 하는지도 파악하라. 스마트 카드는 직원 정보 이상을 제공할 수 있으며, 개인 데이터를 추적할 수 있는 메모리와 마이크로프로세스가 보드에 장착돼 있다.
아마도 카드를 배포 및 관리하는 일은 힘들지 않을 것이다. 이 경우에는 업체측에 액세스 제어용 생체인증(biometrics)을 원한다고 얘기하라.
스마트 카드와 생체인증 시스템은 설비뿐만 아니라 워크스테이션, 랜 및 왠 애플리케이션으로도 액세스를 제공할 수 있다. 워크스테이션 보안을 위한 물리적 안전조치 이행은 잠긴 문 뒤에 기계만 갖다 놓으면 되는 간단한 일이 될 수도 있다. 하지만 규모가 큰 의료 사업자들의 경우 각각의 지식 근로자에게 락과 키가 있는 사무실을 준다는 것은 불가능한 일이나 마찬가지다. 보다 나은 솔루션은 스마트 카드나 생체인증 장비를 이용해 사용자를 인증하고, 이들 각자에게 컴퓨터, 네트워크, 그리고 아마도 네트워크 애플리케이션으로의 액세스를 제공하는 것이다.
이번 호에서 다루고 있는 것이 감시 카메라가가 아님에 유의해야 한다. 이런 감시 장비는 침입자를 식별하고 부당변경 및 절도를 줄여주지만, 부정행위와 무허가 액세스를 막지는 못한다.

워크스테이션 이용하기
워크스테이션의 기능과 이들이 수행될 방식을 규정한 정책과 프로시저를 이행하는 일은 알티리스(Altiris)나 랜데스크 소프트웨어(LANDesk Software)뿐만 아니라 노벨의 젠웍스(ZENworks)와 같은 데스크탑 관리 제품들의 몫이다. 이런 패키지를 선택할 때는 이것이 현재 필요한 것 이상이어서 확장의 여지를 남기는지를 확인해야 한다.
이런 시스템은 중앙 디렉토리 방안으로 사용자를 인증하고, 데스크톱에 어떤 애플리케이션이 등장하는지를 지시하고, 이런 애플리케이션이 어떤 데이터에 액세스하는지를 명시할 수 있다. 게다가 이들은 애플리케이션 전달, 패치 관리, 백업, 그리고 이전 작업 구성으로의 롤백(rollback) 기능도 제공한다.
이런 패키지들은 또한 워크스테이션과 그 장비(디스크 및 테이프 등)를 추적하는 자산 관리 기능도 제공할 수 있다. 하지만 물리적 안전조치를 위한 최종 HIPAA 표준을 준수하기 위해서는 장비 및 매체 통제라는 더 많은 자산 관리 기능들이 필요할 것이다.

장비와 매체
장비 및 매체용 HIPAA 표준은 PHI를 포함한 전자 매체와 하드웨어의 수령 및 제거를 관리하고 추적하는 정책과 프로시저를 제공한다. 이 표준에는 다른 표준들과 달리 필요한 이행 사양들이 포함돼 있다.
우선 조직에서는 전자 PHI나 이것이 저장되는 하드웨어나 매체의 최종 배치 문제를 해결해야 한다. 이 일은 워크스테이션에 달린 하드웨어 디스크와 같은 개별적인 컴포넌트를 추적할 수 있거나, 백업 매체용 아이템을 추가할 수 있을 경우 데스크탑 관리 패키지가 함께 하는 자산 관리 시스템이 처리할 수 있다. 그렇지 않을 경우에는 페러그린 시스템즈(Peregrine Systems)의 IT 에셋(IT Asset)이나, 알티리스 및 랜데스크의 포인트 제품을 찾아보라.
자산의 개별적인 추적 기능도 가능하긴 하지만, 이것은 설비를 이동, 추가, 혹은 변경하거나, 혹은 테이프가 오프사이트로 로딩, 언로딩 및 저장되는 곳에서 매일 밤마다 백업을 할 때는 금새 불가능해진다. 자산관리 시스템은 네트워크 하드웨어와 소프트웨어의 인벤토리를 확보, 수명과 기타 시스템 교체를 관리할 수 있게 해준다.
아마도 이런 많은 시스템에 함께 하는 소프트웨어 추적 기능은 필요하지 않을 수 있겠지만, 이들이 기본적인 기능들을 할 수 있는지는 반드시 확인해야 한다. 이런 기본적인 기능들로는 디렉토리 스키마와의 통합, 네트워크 자원 자동탐색, 그리고 회사, 부서 및 사용자, 작업 요청에 이르기까지의 자산 추적 등이 포함된다.
두 번째 필수 이행사양은 PHI가 재사용되기 이전에 이것을 전자 매체에서 제거하는 것을 목표로 한다. 매체가 내부에 그대로 있을 경우에는 포맷이나 fdisk와 같은 운영시스템 도구를 이용해 드라이브를 간단히 다시 포맷해도 문제가 없을 수 있다.
하지만 매체가 조직 외부에서 돌아다닐 경우에는 미 국방성의 NISPOM(National Security Program Operation Manual) DoD 5220-.22 M 표준과 같은 등급분류 정보 안전조치용 표준을 따르는 툴이 필요할 것이다. 이런 툴들로는 엘소프트 테크놀로지즈(LSoft Technologies)의 액티브앳 킬디스크(Active@ KillDisk)와 액티브 데이터 시큐리티 솔루션즈(Active Data Security Solutions)의 액티브앳 이레이저(Active@ Eraser) 등이 있다.
장비 및 매체 표준에는 두 가지 필수 이행사양 외에도 두 가지 권장 사양이 있다. 권장 사양 중 첫 번째 것은 책임(accountability)과 하드웨어와 전자 매체의 기록 보관에 대한 것으로, 이것은 앞서 언급한 자산 관리 애플리케이션으로 쉽게 충족시킬 수 있다. 두 번째 권장 사양은 PHI를 포함한 장비가 재배치될 경우 검색 가능한 전자 PHI 복사본을 만드는 데 대한 것으로, 이것 또한 기존의 백업 시스템으로 간단히 해결할 수 있다.
백업 시스템이 없는 사람이라면 HIPAA만 걱정할 일이 아니다. 데이터가 디스크 충돌이나 자연 재앙으로 인해 유실될 경우 복구가 불가능하기 때문에 일자리를 잃을 수도 있기 때문이다. 데이터가 반드시 백업돼야만 한다는 법칙도 없고, 이런 백업을 원활하게 하는 운영이 HIPAA의 물리적 안전조치 표준에 속해 있지도 않지만, 이들은 어드미니스트레이티브 세이프가드(Administrative Safeguard: 45 CFR §164.308)에 포함돼 있다. 백업 계획의 규모는 조직의 위험 분석과 관리 프로세스에 따라 결정된다.
그리고 현재 배치돼 있거나 고려 중인 백업 시스템은 반드시 D2D(disk-to-disk)와 D2T(disk-to-tape) 옵션을 제공해야 한다. 이것은 관리 콘솔, 테이프 라이브러리 및 클라이언트 워크스테이션용으로 사용하는 운영시스템을 지원해야 하며, 백업된 데이터를 인덱싱하기 위한 데이터베이스를 통합 혹은 지원해야 한다.
마지막으로, 컴퓨터어쏘시에이츠의 브라이트스토(BrightStor)나 베어메탈 리스토어(Bare Metal Restore) 애드온이 있는 베리타스의 넷백업(NetBackup)과 마찬가지로 이것은 데이터뿐만 아니라 부팅 가능한 운영시스템도 복구할 수 있어야 한다.

HIPAA 물리적 안전조치 표준 체크 리스트

1. 비방에 액세스할 수 있는 세부적인 스태프 권한과 특권은 카드 시스템을 이용하라.
2. 비접촉식 카드가 필요한지 근접식 카드가 필요한지 따져보라.
3. 조직의 위험분석과 관리 프로세스를 기반으로 백업 계획을 짜라.
4. 백업 시스템에 D2D뿐만 아니라 D2T 옵션이 있는지 확인하라.
5. 필요를 넘어서는 데스크톱 관리 패키지를 구입하지 말라.