[3줄 요약]
1. “AI 클라우드 혁신 취지 좋지만 보안 고려 미흡”
2. NIA “N2SF는 조달 단계서... 사업 범위 외 사항”
3. “개발 단계부터 ‘보안 내재화’ 必... 따로 하면 효율·안전↓”

[보안뉴스 강현주 기자] 과기정통부 산하 한국정보지능사회진흥원(NIA)의 ‘공공 병원정보시스템 AI 클라우드 개발 검증 지원’ 사업을 두고 보안에 대한 고려가 미흡하다는 문제 제기가 나오고 있다.

행정 기관 등이 클라우드 컴퓨팅 서비스를 이용 시 ‘국가 망 정보체계(N2SF) 보안 가이드라인’을 준수해야 한다고 행정안전부 고시에 명시돼 있음에도, 사업 공모에는 이를 반영하지 않았다는 이유다.

1일 보안 업계에 따르면, 보안 산업 및 학계 전문가들은 이 같은 의견을 정리해 NIA 측에 전달했지만 의견 차가 좁혀지지 않고 있다.


사업 취지는 좋은데... “CSAP 있지만 N2SF 없어”
NIA는 지난 4월 ‘공공 병원정보시스템(HIS) AI 클라우드 개발 검증 지원 사업’ 공모를 냈다. 국립중앙의료원·서울의료원 등 공공의료기관 HIS를 AI·클라우드 서비스로 전환하기 위한 사업이다. 이 사업은 2년간 총 270억원의 정부 출연금을 지원해 1개 수행 기관을 선정한다. 민간 응용 소프트웨어 법인 및 컨소시엄이 대상이다.

이 사업은 공공부문의 대규모 정보시스템에서 활용되는 공통 기능에 대해 AI 클라우드 서비스로 개발·전환을 지원하는 게 목표다. 국내 공공 의료기관에서 개별 운영 중인 의료정보시스템의 표준화·연계 체계 부족, 데이터 호환성 미흡, AI 서비스 연계 한계 등을 해결하기 위함이다.

이 사업은 AI 대전환을 통해 ‘AI 3대 강국’을 이루려는 현 정부의 기조에 부합한다는 면에서 호응을 얻고 있다. 다만 AI 강국의 기본 전제인 보안에 대한 고려가 아쉽다는 반응도 나온다.

공모 안내서에는 CSAP 인증 획득 및 개인정보보호법, 의료법에 따른 보건의료데이터 활용 가이드라인 준수 계획 등 시스템·데이터 보안 관리의 적정성 등이 평가 항목으로 제시돼 있다.

하지만 N2SF 적용 범위, N2SF가 요구하는 데이터의 기밀(C)/민감(S)/공개(O) 등급 분류, 국가 보안성 검토 산출물 및 운영점검 대응 계획이 명확히 제시돼 있지 않다. 이는 행안부 고시에 부합하지 않는다는 지적이다.

지난해 12월 개정된 행안부 고시 제11조는 행정기관 등이 클라우드 컴퓨팅 서비스 이용 시 ‘국가 정보보안 기본지침’ 및 N2SF 보안가이드라인 준수를 요구하고 있다. 같은 고시 제12조는 운영실태 점검 대상으로 N2SF 보안가이드라인 준수 여부, 보안인증 요건 적용 여부, 안전성 검토 항목의 운영·관리 실태를 포함한다.

현재의 NIA 공모대로 서비스가 개발되고 적용된다면, 클라우드 서버 자체는 CSAP로 현재의 공공 클라우드 보안 요건을 충족한다. 하지만 클라우드에 연계하는 단말의 보안은 인터넷 프로토콜 보안 가상 사설망(IPSecVPN)외엔 안전장치가 부족하다는 게 보안 전문가들의 견해다.

보안 분야 한 학계 전문가는 “병원정보시스템은 환자의 전자의무기록, 처방전달시스템, 검사, 원무 및 경영정보 등 민감한 개인 의료 정보와 진료 데이터가 오가는 핵심 시스템”이라며 “이에 연계되는 병원 내부 단말기들은 철저하게 N2SF 기반 제로트러스트 보안 체계를 갖춰야 한다”고 말했다.

“사업 범위 밖” vs “지원 사업 단계부터 보안 내재화”
이 같은 지적에 대해 NIA 측은 “공공 의료 클라우드에 N2SF을 간과하겠다는 취지가 아니”라는 입장이다. NIA의 지원을 통해 기본적 보안을 충족하는 기능 개발까지 이뤄지는 것이고, N2SF는 조달 단계에서 준수될 대상으로 이번 사업 범위에는 포함되지 않는다는 설명이다.

NIA 관계자는 “본 사업은 시스템 구축(SI) 사업과는 다른 개념으로, 민간기업이 병원정보서비스를 개발하도록 지원하는 사업이라 공공은 해당 산출물을 소유·운영하지 않으며, 추후 공공 클라우드 이용 가이드라인에 따라 서비스를 구독하는 방식”며 “NIA는 사업 추진 전 민간 클라우드 기반 병원정보서비스 활용의 적절성 여부를 국정원 및 수요기관에 확인했으며, 관련 시스템에서 생성되는 데이터가 S등급에 해당해 민간 클라우드 전환·구독에 문제가 없음을 확인한 바 있다”고 밝혔다.

이어 “N2SF 보안가이드라인 준수, 국가정보보안 기본지침 적용, 병원 내부 단말기의 격리·연계 체계 등은 추후 개별 공공 의료원이 2028년 이후 서비스를 구독하는 시점(2028년 이후)에 공공 조달 규정 및 법령에 따라 준수·적용되어야 할 사항으로, 현 공모 사업의 범위에는 해당되지 않는다”며 “NIA는 본 사업이 목적에 맞게 차질 없이 진행될 수 있도록 적극 지원할 예정”이라고 강조했다.

NIA의 이 같은 입장에도 보안 업계는 여전히 우려를 거두지 않는다. 서비스 기술 개발과 N2SF 연계를 분리해 사업을 진행하는 것보다, 사전부터 온전한 ‘보안 내재화’(Secure by design)를 구현하는 게 안전과 효율 두 측면에서 바람직하다는 지적이다.

보안 업계 관계자는 “NIA의 사업은 공공 병원정보시스템의 한계를 클라우드 전환을 통해 AI 혁신을 도모하고 한다는 면에서 매우 좋은 취지”라며 “하지만 N2SF 준수를 지원 사업 단계부터 반영할 필요가 있다”고 밝혔다.

이어 “N2SF를 별도로 반영하는 형태로 한다면 추후 재설계, 재개발, 재검증, 추가 솔루션 도입 등이 필요해 개발 효율이 낮아질 수 있고, 최근 그 중요성이 더욱 부각된 ‘보안 내재화’ 차원에서도 맞는 흐름이 아니다”라며 “또 조달 단계에서 N2SF를 서비스에 적용하는 주체는 누가돼야 할지 등 불분명한 문제를 남길 수 있다”고 말했다.

또 다른 보안 업계 관계자는 “지난해 N2SF 가이드라인 1.0이 공개됐고, AI 시대 사이버 위협 위기가 고조되면서, 등급 분류에 따른 효과적인 데이터 보안 및 개발 단계부터의 보안 내재화 개념이 최근 급속도로 부각됐다”며 “보안에 대한 인식이 급격히 달라진만큼 이제 정부 사업들도 변화에 빠르게 발 맞출때가 됐다”고 말했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>