▲ 병원 정보보호 협회 춘계 세미나(4.3)[출처=국가정보원]국정원(원장 조태용)에 따르면 국민 생명과 직결된 병원 전산시스템과 의료정보 등을 사이버공격으로부터 보호하기 위해 ｢병원정보시스템 보안 가이드라인｣을 마련했다.국정원은 지난 수년간 북한 등 사이버위협 세력들은 병원 의료정보시스템을 노린 사이버위협에 집중해왔다.2024년 미국·오스트레일리아 등에서 의료보험 처리 기관·대학 병원 등이 해킹돼 환자 개인정보가 유출되고 병원 업무가 마비되는 등 심각한 피해를 입은 사건들이 발생했다. 최근 북한은 2025년을 ‘보건혁명의 원년’으로 선포한 이후 해킹조직을 동원해 국내 바이오·의료업체 전산망 침투를 노리는가 하면 의료기관 관계자에게 해킹 메일을 대량 살포하는 등 의료정보·기술 절취에 몰두하고 있는 것으로 알려졌다.국정원은 이와 같은 위협에 대응하기 위해 그간 교육부·보건복지부, 병원 현장관계자 등과 함께 진행해 온 ‘병원보안 모델 연구’를 최근 완료하고 ‘병원정보시스템 보안 가이드라인’을 공개하게 됐다고 밝혔다.同 가이드라인은 의료·외부연계 시스템·환자포털 등 병원정보시스템 6개 영역에 대한 보안모델의 표준을 제시하고 있다. 정보보안 정책·시스템 운영·환자 개인정보 보호 등 분야별 보안대책을 담고 있다.특히 국립대병원 뿐만 아니라 민간 종합병원 정보보안 담당자들이 실무에 쉽게 활용하도록 제작하는 데 주안점을 뒀다. 자세한 가이드라인의 내용은 국가사이버안보센터 홈페이지(www.ncsc.go.kr)에서 확인할 수 있다.이와 더불어 실무자들이 보안 가이드라인을 현장에서 실효성 있게 활용하도록 하기 위해 현장 설명회도 개최했다.우선 3월14일 국립대학병원 정보보안 담당자들로 구성된 ｢국립대학병원 사이버보안 협의회｣를 통해 가이드라인을 처음 소개했다.이어 4월3일에는 전국의 민간상급병원

▲ 삼성바이오로직스 4공장[출처=삼성바이오로직스]삼성바이오로직스(대표이사 존 림)에 따르면 △ISO 37301(규범준수경영시스템) △ISO 27001(정보보호 관리체계) △ISO 27017(클라우드 보안관리체계) 등 총 3건의 국제표준화기구(ISO) 국제표준 인증서를 부여받았다.특히 삼성바이오로직스는 2024년 최초로 규범준수경영시스템 ‘ISO 37301’ 인증을 획득해 준법경영 역량을 인정받았다.‘ISO 37301’은 기업의 준법경영 프로세스와 정책이 국제표준에 부합해 체계적으로 구축 및 운영되고 있는지 평가하는 인증 제도다.삼성바이오로직스는 규범준수경영시스템 인증을 획득함에 따라 지속적으로 변화하는 비즈니스 규제 환경에 더욱 효과적으로 대응할 수 있게 됐다.또한 2019년 업계 최초로 획득한 정보보호 관리체계 ‘ISO 27001’ 인증 및 2022년 획득한 클라우드 보안관리체계 ‘ISO 27017’ 인증을 갱신했다.이로써 글로벌 최고 수준의 보안관리체계를 다시 한 번 인정을 받았다. 글로벌 CDMO 업계 내에서 최고 권위 정보보호 국제표준인 ‘ISO 27001’, ‘ISO 27017’을 모두 획득한 기업은 삼성바이오로직스가 유일하다.삼성바이오로직스는 바이오 의약품을 위탁개발생산하는 CDMO 비즈니스의 특성상 본격적인 생산에 돌입하기에 앞서 고객사로부터 제품과 관련된 모든 정보들을 전달받는다.이러한 정보는 제품개발에 필요한 구체적인 데이터에서부터 대량 생산을 위한 기술 등 고객사의 핵심 정보를 포함하고 있기 때문에 CDMO 기업에게 컴플라이언스와 정보보호 역량은 필수적이다.삼성바이오로직스는 이번 글로벌 ISO 국제표준 3종 동시 획득으로 글로벌 고객사들의 신뢰를 한 층 더 강화할 수 있게 됐다.존 림 삼성바이오로직스 대표는 “삼성바이오로직스는 글로벌 제약·바이오 업계를 선도하는 기업으로서 앞으로도 ESG 경영

▲ 효성 로고[출처=효성]효성그룹(대표이사 회장 조현준, 대표이사 사장 김규영)의 금융전문 IT계열사 효성티앤에스(대표 최방섭)은 국제 정보보안관리 표준인 ‘ISO27001’ 인증을 획득했다.효성티앤에스는 금융정보를 다루는 현금자동입출금기(ATM) 사업을 영위하고 있어 고객신뢰 확보를 위해 선제적으로 국제정보보호 인증을 취득했다. 정보 자산의 기밀성, 무결성, 가용성을 인정받아 국제표준에 부합하는 보안 관리 체계를 갖췄음을 입증 받았다.국제 전문 심사기관인 DNV로부터 엄격한 심사를 거쳐  ISO 27001 인증을 획득했다. 이번 ISO 인증 획득으로 금융 자동화 시스템 분야에서 오랜 기간 축적해 온 기술력과 노하우를 바탕으로 정보보안 분야에서도 한층 더 경쟁력을 갖추게 됐다.ISO 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)에서 제정한 정보보호 관리체계 국제표준으로 정보보호 분야에서 가장 권위 있는 국제인증이다.최방섭 효성티앤에스 대표는 “이번 인증을 통해 효성티앤에스는 고객 정보보호와 리스크 관리에 대한 신뢰성을 한층 높였다. 고객의 소중한 정보와 데이터를 안전하게 보호하는 것은 물론 앞으로도 체계적인 보안 관리와 혁신적인 솔루션 제공을 통해 고객의 신뢰를 지켜나가겠다”고 밝혔다.

▲ 니비도우스(Nividous)의 홍보자료 [출처=홈페이지] 인도 자동화 솔루션 기업 니비도우스(Nividous)는 정보 보안 관리 시스템 국제 표준 ISO/IEC 27001:2013 인증을 획득했다고 밝혔다. 니비도우스는 RPA(Robotics Process Automation), 인공지능(AI) 지원 및 프로세스 자동화 기능을 기반으로 하는 수직 솔루션을 제공해 유연하고 민첩하게 비지니스를 운영할 수 있도록 지원한다.기업이 엔드 투 엔드(end-to-end) 비즈니스 프로세스 자동화를 달성할 수 있도록 돕는다. ISO/IEC 27001:2013 인증 획득은 내부 운영에 필수적인 보안 및 규정 준수를 위한 모범 사례로 평가된다.니비도우스가 정보 보안 관리 시스템(ISMS)을 구현, 유지 및 개선하기 위한 요구사항을 준수했기 때문이다. 특히 정기 감사, 필수 직원 교육, 사고 관리 문서 및 직원에 대한 정책 액세스를 포함한 모든 프로세스가 규정에 따라 관리됐다.이를 위해 정보 자산의 기밀성, 무결성 및 가용성(CIA)을 보호하기 위한 전체적인 접근 방식이 적용됐다. 이와 같이 국제 표준 ISO/IEC 27001:2013 인증을 획득함으로써 고객의 신뢰도를 더욱 향상시킬 수 있을 것으로 전망된다.

▲ 푸니암 아카데미(Punyam Academy)의 홍보자료 [출처=홈페이지]인도 온라인 ISO 교육 기업 푸니암 아카데미(Punyam Academy)에 따르면 정보 보안 관리 시스템 국제 표준 ISO 27001:2022에 대한 온라인 선임 심사원 교육 과정(lead auditor training course)을 도입했다. 푸니암 아카데미는 다양한 유형의 ISO 교육 과정을 제공하고 온라인 인증을 위해 웨비나를 이용해 강의 프로그램을 제공하는 교육 제공업체이다.ISO 27001:2022는 조직이 정보 자산을 보호하는 정보 보안 관리에 대한 세계 최고의 표준으로 평가된다. 이번 온라인 교육 과정은 ISO 27001:2022에 따른 요구 사항 및 통제에 대한 최신 개정판을 고려하여 개발됐다.교육 과정에는 시청각 프레젠테이션, 유인물, 감사 체크리스트, 비디오 및 온라인 시험이 포함된다. 이를 통해 교육 과정 참가자는 ISMS의 공인 선임 감사자 자격을 갖추기 위한 지식과 기술을 습득할 수 있다.또한 교육 참가자는 ISO 27001:2022 관련 문서를 배울 수 있다. 문서에는 ISMS 매뉴얼 절차 및 기록 목록, 선임 심사원으로서 이를 확인하는 방법, 심사 및 질문 기법의 유형, 체크리스트를 이용한 인증 심사 수행이 포함된다.교육 참가자에게 위험 관리, 위험 평가 및 치료의 개념이 제공된다. 특히 선임 심사원 교육 과정을 마친 참가자는 ISO 27001:2022 인증 심사를 위한 심사팀을 이끌 수 있다.온라인 교육 과정은 ISO 27001:2022에서의 선임 감사 희망자, 실무 전문가, 학생을 포함한 모든 교육생에게 도움이 될 것으로 기대된다.

▲ 아바티어(Avatier)의 홍보자료 [출처=홈페이지] 미국 아이디(ID) 관리 솔루션 기업 아바티어(Avatier)에 따르면 정보 보안 관리 시스템 국제표준 ISO 27001 인증을 획득했다고 밝혔다. 아바티어는 조직이 더 빠르게 확장하고 혁신하며 더 안전하게 변화를 수용할 수 있는 ID 관리 및 거버넌스 플랫폼을 개발하고 있다.IAM(Identity Access Management) 및 IGA(Identity Governance and Administration) 솔루션은 클라이언트 소프트웨어가 필요하지 않아 모든 플랫폼에서 실시간으로 ID를 관리할 수 있다.아바티어는 독립적이고 공인된 인증 기관인 에이라인(A-LIGN)으로부터 공식 감사 프로세스를 완료해 ISO 27001 인증을 획득했다.인증은 아바티어가 Avatier Identity Anywhere 플랫폼의 기밀성, 무결성 및 가용성을 증명하는 지표로 평가된다. 특히 고객의 데이터 및 정보 보안이 조직의 모든 영역에서 적절하게 제어된다는 것을 보여준다.이를 통해 아바티어는 고객의 신뢰성을 확보해 더욱 더 성장할 수 있을 것으로 전망된다. 한편, 아바티어는 1997년 설립됐으며 미국 캘리포니아에 본사를 두고 있다. 

▲ 카타르인터내셔널이슬라믹은행(QIIB)의 홍보자료[출처=홈페이지]카타르 주요 금융기관인 카타르인터내셔널이슬라믹은행(QIIB)는 정보보안 국제 표준 ISO 27001 인증을 3년간 연장했다고 밝혔다.ISO 27001 인증은 정보 보안, 고객 데이터 보존 및 모든 보안 분야에서 '최상의 조건 및 표준'을 달성한 기관에 부여된다.즉 ISO 27001 인증을 위해서는 고객 데이터와 보안을 유지하기 위해 첨단 기술 인프라, 높은 전문적 기술 수준, 다양한 부서의 제어가 요구된다.특히 이번 인증은 QIIB가 사이버 보안 문제에 적절하게 대응하고 있음을 보여주는 지표로 평가된다. 정보, 데이터 보안 및 은행 거래의 기밀 유지 측면에서 QIIB가 신뢰할 수 있는 파트너라는 것을 고객에게 증명할 수 있기 때문이다.향후에도 QIIB는 최상의 정보 보안 표준에 따라 고객의 데이터를 저장하고 관리할 수 있어 고객의 신뢰가 더욷더 향상될 것으로 전망된다.ISO 27001 인증에 따라 고객의 요구에 대해 최선의 방식으로 대응하는 통합 제품 및 서비스가 제공될 수 있기 때문이다. 이번 인증 심사는 최고 경영자(CEO)인 Dr Abdulbasit Ahmed al-Shaibei이 책임지고 수행했다.

▲ 에쿠아센스(EQUASENS Group)의 홍보자료[출처=홈페이지]프랑스 의료기업인 에쿠아센스(EQUASENS Group)에 따르면 정보 보안 관리 국제 표준 ISO 27001 및 건강 데이터 호스팅(HDS) 인증을 획득했다. ISO 27001은 조직의 전반적인 비즈니스 위험과 정보 자산을 보호하고 이해 관계자에 대한 신뢰를 향상시킨다. 이번 국제 표준 인증은 에쿠아센스 자회사인 판다랩(PANDALAB)이 표준화 인증 기관인 AFNOR(Association Française de Normalisation)으로부터 획득했다.판다랩은 의료 전문가, 조직 및 환자를 위한 포괄적인 서비스를 기반으로 의료 제공자 간의 정보 교환을 촉진하는 개방형 플랫폼인 판다랩 프로(pandaLAB Pro)를 제공한다.개발된 솔루션은 1만9194개 의료 전문 사용자 계정인 의사, 약사, 간호사, 행정 직원, 물리 치료사를 기반으로 한다. 또한 의료 운영자에는 사설 클리닉, 공립병원, 암 센터, 가정 의료 제공자, 재택 병원 프로그램이 모두 포함된다.프로그램을 통해 "PRIVATE TEAM" 모델을 마케팅하며 사설 생태계를 계속 확장할 방침이다. 특히 지역 건강 전문가 네트워크를 바탕으로 이미 187개 사설팀이 모델을 채택했다.이번 국제 표준 인증은 고객 데이터에 대한 최고 수준의 개발 품질, 기밀성 및 보안을 제공하는 판다랩의 이정표로 평가된다. 

▲ 글루코(Glooko)의 홍보자료[출처=홈페이지]미국 내분비계 의료 기기 기업 글루코(Glooko)에 따르면 건강정보신탁연합(HITRUST) 인증을 갱신하고 정보 보안 국제표준 SOC 2 Type II 인증을 획득했다.글루코는 만성 질환자를 위한 커넥티드 케어 플랫폼인 Glooko®을 통해 환자의 건강을 향상시키고 있다. 특히 글루코는 환자와 의료 제공자간의 연결을 혁신하고 디지털 치료를 통해 환자 참여 및 순응도를 높여 환자의 삶을 개선한다.글루코는 HITRUST 인증 갱신을 통해 엘리트 조직 그룹에 포함돼 환자 건강 데이터 보호에 대한 정보 보안 관리 표준을 충족한 것으로 평가된다.또한 글루코는 제3자 감사회사의 독립적인 검증을 통해 SOC 2 Type II 인증을 획득했다. 고객 데이터, 소프트웨어 및 회사의 보안을 보장하기 위한 목적이다.이와 같이 엄격한 제3자의 검증을 통해 글루코가 HITRUST 및 SOC23 type II 인증을 획득함으로써 데이터 보호 및 정보 보안에 대한 표준 규정을 준수한 것으로 평가된다.글루코의 이번 인증 획득은  정보 위험 관리 및 규정 준수를 위한 업계 모범 사례로 분석된다. 더불어, 글루코가 판매하는 제품은 30개 이상의 국가와 8000개 이상의 임상에서 사용되고 있다. 

▲ 잰코어소시에이츠(Janco Associates Inc.)의 홍보자료[출처=홈페이지]미국 경영 컨설팅 기업 잰코어소시에이츠(Janco Associates Inc.)에 따르면 공급망 보안 관리 시스템 국제 표준 ISO 28000에 대한 공급망 보안 감사 프로그램을 출시했다.또한 규정 준수 관리 키트의 전체 제품군이 업데이트됐다. 제조, 유통 및 마케팅 회사에서 공급망 보안은 매우 중요한 항목이다. 노후화된 인프라, 원격 공급업체에 대한 의존, 자연 및 인위적 위협의 증가로 인해 배송 및 보안이 악화됐기 때문이다.공급망 보안 감사 프로그램과 컴플라이언스 관리 키트는 이로 인한 문제점을 해결할 수 있다. 특히 모든 규모의 기업이 문제점을 해결하기 위해 개발된 도구를 활용할 수 있도록 규정 준수 관리 키트에 추가됐다.ISO 28000 공급망 보안 감사 프로그램은 스탠다드(Standard), 프리미엄(Premium) 및 골드(Gold)의 3가지 버전으로 제공된다. 모든 버전은 12개월 또는 24개월 동안 업데이트 서비스와 함께 사용될 수 있다.스탠다드 버전에는 ISO 28000 공급망 보안 감사 프로그램 및 블록체인 기술을 구현한 복합 운송업체를 위한 감사 프로그램의 샘플이 포함한다.프리미엄 버전에는 ISO 28000 공급망 보안 감사 프로그램 및 업계 표준 보안 매뉴얼 전체 사본이 포함된다. 골드 버전은 ISO 28000 공급망 보안 감사 프로그램, 보안 매뉴얼 템플릿, 보안 관리를 위한 26개의 전체 작업 설명 및 28개의 즉시 사용 가능한 전자 양식을 포함한다.