▲ 병원 정보보호 협회 춘계 세미나(4.3)[출처=국가정보원]국정원(원장 조태용)에 따르면 국민 생명과 직결된 병원 전산시스템과 의료정보 등을 사이버공격으로부터 보호하기 위해 ｢병원정보시스템 보안 가이드라인｣을 마련했다.국정원은 지난 수년간 북한 등 사이버위협 세력들은 병원 의료정보시스템을 노린 사이버위협에 집중해왔다.2024년 미국·오스트레일리아 등에서 의료보험 처리 기관·대학 병원 등이 해킹돼 환자 개인정보가 유출되고 병원 업무가 마비되는 등 심각한 피해를 입은 사건들이 발생했다. 최근 북한은 2025년을 ‘보건혁명의 원년’으로 선포한 이후 해킹조직을 동원해 국내 바이오·의료업체 전산망 침투를 노리는가 하면 의료기관 관계자에게 해킹 메일을 대량 살포하는 등 의료정보·기술 절취에 몰두하고 있는 것으로 알려졌다.국정원은 이와 같은 위협에 대응하기 위해 그간 교육부·보건복지부, 병원 현장관계자 등과 함께 진행해 온 ‘병원보안 모델 연구’를 최근 완료하고 ‘병원정보시스템 보안 가이드라인’을 공개하게 됐다고 밝혔다.同 가이드라인은 의료·외부연계 시스템·환자포털 등 병원정보시스템 6개 영역에 대한 보안모델의 표준을 제시하고 있다. 정보보안 정책·시스템 운영·환자 개인정보 보호 등 분야별 보안대책을 담고 있다.특히 국립대병원 뿐만 아니라 민간 종합병원 정보보안 담당자들이 실무에 쉽게 활용하도록 제작하는 데 주안점을 뒀다. 자세한 가이드라인의 내용은 국가사이버안보센터 홈페이지(www.ncsc.go.kr)에서 확인할 수 있다.이와 더불어 실무자들이 보안 가이드라인을 현장에서 실효성 있게 활용하도록 하기 위해 현장 설명회도 개최했다.우선 3월14일 국립대학병원 정보보안 담당자들로 구성된 ｢국립대학병원 사이버보안 협의회｣를 통해 가이드라인을 처음 소개했다.이어 4월3일에는 전국의 민간상급병원

▲ 삼성바이오로직스 4공장[출처=삼성바이오로직스]삼성바이오로직스(대표이사 존 림)에 따르면 △ISO 37301(규범준수경영시스템) △ISO 27001(정보보호 관리체계) △ISO 27017(클라우드 보안관리체계) 등 총 3건의 국제표준화기구(ISO) 국제표준 인증서를 부여받았다.특히 삼성바이오로직스는 2024년 최초로 규범준수경영시스템 ‘ISO 37301’ 인증을 획득해 준법경영 역량을 인정받았다.‘ISO 37301’은 기업의 준법경영 프로세스와 정책이 국제표준에 부합해 체계적으로 구축 및 운영되고 있는지 평가하는 인증 제도다.삼성바이오로직스는 규범준수경영시스템 인증을 획득함에 따라 지속적으로 변화하는 비즈니스 규제 환경에 더욱 효과적으로 대응할 수 있게 됐다.또한 2019년 업계 최초로 획득한 정보보호 관리체계 ‘ISO 27001’ 인증 및 2022년 획득한 클라우드 보안관리체계 ‘ISO 27017’ 인증을 갱신했다.이로써 글로벌 최고 수준의 보안관리체계를 다시 한 번 인정을 받았다. 글로벌 CDMO 업계 내에서 최고 권위 정보보호 국제표준인 ‘ISO 27001’, ‘ISO 27017’을 모두 획득한 기업은 삼성바이오로직스가 유일하다.삼성바이오로직스는 바이오 의약품을 위탁개발생산하는 CDMO 비즈니스의 특성상 본격적인 생산에 돌입하기에 앞서 고객사로부터 제품과 관련된 모든 정보들을 전달받는다.이러한 정보는 제품개발에 필요한 구체적인 데이터에서부터 대량 생산을 위한 기술 등 고객사의 핵심 정보를 포함하고 있기 때문에 CDMO 기업에게 컴플라이언스와 정보보호 역량은 필수적이다.삼성바이오로직스는 이번 글로벌 ISO 국제표준 3종 동시 획득으로 글로벌 고객사들의 신뢰를 한 층 더 강화할 수 있게 됐다.존 림 삼성바이오로직스 대표는 “삼성바이오로직스는 글로벌 제약·바이오 업계를 선도하는 기업으로서 앞으로도 ESG 경영

▲ 효성 로고[출처=효성]효성그룹(대표이사 회장 조현준, 대표이사 사장 김규영)의 금융전문 IT계열사 효성티앤에스(대표 최방섭)은 국제 정보보안관리 표준인 ‘ISO27001’ 인증을 획득했다.효성티앤에스는 금융정보를 다루는 현금자동입출금기(ATM) 사업을 영위하고 있어 고객신뢰 확보를 위해 선제적으로 국제정보보호 인증을 취득했다. 정보 자산의 기밀성, 무결성, 가용성을 인정받아 국제표준에 부합하는 보안 관리 체계를 갖췄음을 입증 받았다.국제 전문 심사기관인 DNV로부터 엄격한 심사를 거쳐  ISO 27001 인증을 획득했다. 이번 ISO 인증 획득으로 금융 자동화 시스템 분야에서 오랜 기간 축적해 온 기술력과 노하우를 바탕으로 정보보안 분야에서도 한층 더 경쟁력을 갖추게 됐다.ISO 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)에서 제정한 정보보호 관리체계 국제표준으로 정보보호 분야에서 가장 권위 있는 국제인증이다.최방섭 효성티앤에스 대표는 “이번 인증을 통해 효성티앤에스는 고객 정보보호와 리스크 관리에 대한 신뢰성을 한층 높였다. 고객의 소중한 정보와 데이터를 안전하게 보호하는 것은 물론 앞으로도 체계적인 보안 관리와 혁신적인 솔루션 제공을 통해 고객의 신뢰를 지켜나가겠다”고 밝혔다.

▲ 방글라링크(Banglalink) 임원직 [출처=홈페이지]방글라데시 디지털 통신서비스 선도 공급기업 중 하나인 방글라링크(Banglalink)에 따르면 정보 보안에 대한 국제 표준 ISO27001:2013 인증을 획득했다.ISO 인증은 테스트, 감사, 인증 분야에서 세계적 리더인 베리 베리투스(Bereau Veritus)에 의해 진행됐다. 방글라링크의 사이버 보안은 자사 고객에게 양질의 디지털 서비스를 제공하려는 필수적인 노력의 일부분이다.따라서 이러한 명성 높은 인증은 자사 조직에서 유지되는 최고 수준의 사이버 보안을 반영한 것이다. 방글라데시에서 디지털 운영자로서 방글라링크의 개척자적인 역할을 인정했다.방글라링크의 ISO 27001 인증은 자사 고객과 클라이언트, 공급자 등의 이익을 보호하기 위해 최고의 정보 보안 관리 관행을 따르고 있음을 나타낸다.이는 위험과 사이버 공격을 줄이기 위해 보다 더 효과적인 보안 태세와 효율적인 프로세스를 갖추는데 도움이 된다.ISO27001:2013 인증은 정보 보안 리스크를 관리하는 일련의 정책, 절차, 프로세스, 시스템인 정보보안경영 시스템(Information Security Management System, ISMS)의 요구사항을 정의하는 국제표준이다.인증 프로세스는 조직이 규제 기준을 충족하고 보안 위반 가능성을 줄이는데 도움이 되는  포괄적인 위험 평가 및 관리 프로그램 포함하고 있다. 

▲ 리보스(Ribose)의 로고 [출처=홈페이지]중국 사이버보안 업체 리보스(Ribose)에 따르면 영국 표준 인증 기관(BSI Pacific Limited)으로부터 정보 보안 관리 시스템 국제 표준 ISO/IEC 27001:2022 인증에 대한 적합성 평가를 완료했다. ISO/IEC 27001:2022는 ISO/IEC 27002:2022의 93개 종합 정보 보안 제어에 부응하는 정보 보안 관리 시스템 표준의 최신 버전이다.특히 조직, 사람, 물리적 및 기술 측면으로 구성돼 개인 정보 보호,  데이터 유출 방지 및 위험 관리 역량이 향상된다. 사이버 보안 문제가 점점 더 심각해지고 있기 떄문에 조기에 프로세스를 업그레이드할 필요가 있다.ISO/IEC 27001:2022는 전체적인 사이버 탄력성 프레임워크로 사용자 보호를 더욱 강화한다. 이와 같은 국제 표준 인증을 통해 디지털 신뢰성이 향상될 수 있을 것으로 전망된다. 

▲ 에비소트(Evisort)의 홍보자료 [출처=홈페이지]미국 계약 인텔리전스 관리 기업 에비소트(Evisort)에 따르면 정보보안관리 국제 표준 ISO 27001 및 보안기술 국제 표준 ISO 27701 인증을 획득했다.에비소트는 계약 수명 주기 관리 및 분석을 위한 최고의 혁신적인 비즈니스 솔루션을 제공한다. 특히 에비소트는 고급 분석, OCR(광학 문자 인식) 기술, 다국어 기능, 효율적인 계약서 작성 및 확장된 지능형 조항 라이브러리를 포함한 제품을 고객에게 제공한다.회사의 인공지능은 1100만 건 이상의 계약과 수십억 개의 데이터를 바탕으로 한다. 2019년부터 보안 및 데이터 개인정보보호 관행에 대한 타입2 서비스 조직 컨트롤(SOC 2 Type 2) 인증도 보유하고 있다.ISO 27701은 기업 데이터의 기밀성, 무결성 및 가용성을 보장하는 관리 시스템을 구현하기 위한 프레임워크를 제공한다.ISO 27701은 개인정보보호규정(GDPR) 및 개인정보보호법(CCPA)을 포함한 다양한 국제 개인 정보 보호 규정을 준수하는 개인 정보 관리 시스템을 구현, 유지 및 개선하기 위한 요구 사항을 지정한다.이번 인증 획득은 다양한 보안 위협과 규제 요건의 시대에 회사의 신뢰를 고객에게 제공하는 이정표로 평가된다. 또한 에비소트는 계약 수명 주기 관리 프로세스를 간소화하고 비즈니스에  가치를 제공하기 위해 드루바(Druva)와 파트너십을 체결했다.드루바는 데이터 복원을 위한 업계 최고의 사스(SaaS·서비스형 소프트웨어) 플랫폼을 제공한다. 또한 1000만 달러 보증으로 지원되는 일반적인 데이터 위험 전반에 걸쳐 데이터 보호를 보장한다.이와 같은 정보보안을 통해 에비소트는 미묘한 맥락과 법적 언어의 의미를 분석하고 비용을 절감해 비즈니스를 더욱 성장시킬 수 있을 것으로 전망된다. 

▲ 스리아스(Sryas)의 홍보자료 [출처=홈페이지]캐나다 데이터 솔루션 기술 기업 스리아스(Sryas)에 따르면 보안기술 국제표준인 ISO 27034-1:2011 인증을 획득했다. 보안 기술 국제 표준 ISO 27034는 전체 소프트웨어 개발 수명 주기에 걸쳐 보안을 통합하도록 조직을 가이드하는 애플리케이션 보안 프레임워크다.ISO 27034-1:2011 인증은 회사의 개발 및 제공 방식에 추가 보안 계층을 제공할 수 있을 것으로 평가된다. 데이터를 보호하는 SOC 1 Type I 표준 및 시스템을 보호하는 정보 보안 국제 표준 ISO 27001:2013을 이미 획득했기 때문이다.또한 스리아스는 OWASP(The Open Web Application Security Project), SANS Institute 및 기타 산업 등급 보안 관행을 결합한 보안 모델을 따르고 있다.이번 인증을 통해 스리아스의 파트너와 고객은 처음부터 안전한 응용 프로그램을 설계하는 효과적인 프로그램을 구축할 수 있을 것으로 기대된다.특히 스리아스는 품질 관리 시스템 국제표준  ISO 9001:2015 및 미국 의료정보보호법(HIPAA)을 준수하면서 고객 서비스를 강화할 방침이다. 

▲ 인피니온(Infineon)의 홍보자료 [출처=홈페이지]독일 반도체 기업 인피니온(Infineon)은 최근 자동차 사이버 보안 국제 표준 ISO/SAE 21434 인증을 획득했다고 밝혔다. 인증은 인증 전문 기관인 TÜV Nord에 의해 수행됐다. 11월 21일 커넥티드 자동차의 사이버 보안에 대한 UN R155 규정이 유엔유럽경제위원회(UNECE)에 의해 도입됐기 때문이다.R155 규정하에서 차량 제조업체는 각 차량 유형에 적용되는 사이버 보안 관리 시스템(CSMS)에 대한 유효한 규정 준수 인증서를 구비해야 한다.또한 공급망 전반에 걸쳐 사이버 보안을 구현하고 차량 수명 주기 전반에 걸쳐 전반적인 공격 위험을 줄여야 한다.이에 따라 곧 출시될 AURIX™ TC4xx 마이크로컨트롤러 제품군은 새롭고 혁신적인 사이버 보안 아키텍처를 특징으로 한다.제품군은 ISO/SAE 21434 국제 표준에 따라 제품 인증이 획득될 예정이다. PSoC™ 마이크로 컨트롤러, EMPER™ 보안 플래시 메모리, OPTIGA™ 하드웨어 보안 모듈을 포함한 광범위한 제품에 자동차 사이버 보안이 적용된다.보안 제품 및 시스템에 대한 잠재적 위협은 ISO/SAE 21434 준수 제품 보안 사고 대응 프로세스를 기반으로 평가 및 완화될 수 있다.이와 같은 모니터링 및 사고 대응 기능을 통해 인피니온과 고객은 위험 관리 프로그램 및 관련 규정에 따라 제품 보안 위험을 신속하게 식별하고 완화할 수 있을 것으로 전망된다.

▲ 니비도우스(Nividous)의 홍보자료 [출처=홈페이지] 인도 자동화 솔루션 기업 니비도우스(Nividous)는 정보 보안 관리 시스템 국제 표준 ISO/IEC 27001:2013 인증을 획득했다고 밝혔다. 니비도우스는 RPA(Robotics Process Automation), 인공지능(AI) 지원 및 프로세스 자동화 기능을 기반으로 하는 수직 솔루션을 제공해 유연하고 민첩하게 비지니스를 운영할 수 있도록 지원한다.기업이 엔드 투 엔드(end-to-end) 비즈니스 프로세스 자동화를 달성할 수 있도록 돕는다. ISO/IEC 27001:2013 인증 획득은 내부 운영에 필수적인 보안 및 규정 준수를 위한 모범 사례로 평가된다.니비도우스가 정보 보안 관리 시스템(ISMS)을 구현, 유지 및 개선하기 위한 요구사항을 준수했기 때문이다. 특히 정기 감사, 필수 직원 교육, 사고 관리 문서 및 직원에 대한 정책 액세스를 포함한 모든 프로세스가 규정에 따라 관리됐다.이를 위해 정보 자산의 기밀성, 무결성 및 가용성(CIA)을 보호하기 위한 전체적인 접근 방식이 적용됐다. 이와 같이 국제 표준 ISO/IEC 27001:2013 인증을 획득함으로써 고객의 신뢰도를 더욱 향상시킬 수 있을 것으로 전망된다.

▲ 푸니암 아카데미(Punyam Academy)의 홍보자료 [출처=홈페이지]인도 온라인 ISO 교육 기업 푸니암 아카데미(Punyam Academy)에 따르면 정보 보안 관리 시스템 국제 표준 ISO 27001:2022에 대한 온라인 선임 심사원 교육 과정(lead auditor training course)을 도입했다. 푸니암 아카데미는 다양한 유형의 ISO 교육 과정을 제공하고 온라인 인증을 위해 웨비나를 이용해 강의 프로그램을 제공하는 교육 제공업체이다.ISO 27001:2022는 조직이 정보 자산을 보호하는 정보 보안 관리에 대한 세계 최고의 표준으로 평가된다. 이번 온라인 교육 과정은 ISO 27001:2022에 따른 요구 사항 및 통제에 대한 최신 개정판을 고려하여 개발됐다.교육 과정에는 시청각 프레젠테이션, 유인물, 감사 체크리스트, 비디오 및 온라인 시험이 포함된다. 이를 통해 교육 과정 참가자는 ISMS의 공인 선임 감사자 자격을 갖추기 위한 지식과 기술을 습득할 수 있다.또한 교육 참가자는 ISO 27001:2022 관련 문서를 배울 수 있다. 문서에는 ISMS 매뉴얼 절차 및 기록 목록, 선임 심사원으로서 이를 확인하는 방법, 심사 및 질문 기법의 유형, 체크리스트를 이용한 인증 심사 수행이 포함된다.교육 참가자에게 위험 관리, 위험 평가 및 치료의 개념이 제공된다. 특히 선임 심사원 교육 과정을 마친 참가자는 ISO 27001:2022 인증 심사를 위한 심사팀을 이끌 수 있다.온라인 교육 과정은 ISO 27001:2022에서의 선임 감사 희망자, 실무 전문가, 학생을 포함한 모든 교육생에게 도움이 될 것으로 기대된다.