bg

프리미어 상급 종합병원 S (A premier tertiary care hospital S)

Back

Key Takeaway

멀티 기관 의료 협력을 위한 중앙 보안 거버넌스 아키텍처를 구축했습니다.

기관마다 다른 보안 정책과 승인 절차를 HALO가 제시한 AWS 보안 거버넌스로 표준화하여 역할 기반 권한 관리·중앙 관제·규정 준수를 갖춘 안전한 의료 데이터 협력 환경을 완성했습니다.

프리미어 상급 종합병원 S (A premier tertiary care hospital S)

고객사 :프리미어 상급 종합병원 S (A premier tertiary care hospital S)

산업군 :Healthcare

서비스 영역 :Security

1. Overview (프로젝트 배경)

 

여러 의료기관이 참여하는 협력 연구가 확대되면서 기관마다 서로 다른 보안 규정·접근 통제·승인 절차로 인해 민감 의료데이터를 안전하게 공유·활용하기 위한 통합 보안 거버넌스 체계는 필수가 되었습니다. 특히 의료 데이터는 법적 규제(PIPA, 의료법), IRB 승인, 환자 동의 등 까다로운 요건을 충족해야 하기 때문에 단순한 데이터 공유가 아니라 권한·승인·감사·모니터링까지 포괄하는 중앙 보안 통제 구조가 필요했습니다. 메가존클라우드 HALO는 AWS 기반으로 계정·권한·승인·보안정책·감사·모니터링까지 전 주기를 중앙 통제하는 보안 아키텍처를 설계했습니다.

 

 

2. Challenges (문제 정의)

 

  1. 기관마다 서로 다른 보안 정책과 운영 기준 때문에 통합된 거버넌스 체계를 세우기 어려웠습니다.

여러 의료기관이 참여하면서 각 기관이 보유한 보안 규정, 접근정책, 승인 절차가 모두 달랐습니다. 동일한 데이터를 다뤄도 기관별로 요구하는 기준이 달라 일관된 보안 정책을 적용하기 어려웠습니다. 이 문제는 협업을 위한 공통 보안 기준을 수립하는 데 구조적인 제약이었습니다.

  1. 민감 의료데이터 활용을 위한 승인·동의·IRB 절차의 불일치로 통합 운영이 힘들었습니다.

의료데이터는 법적·윤리적 기준이 매우 까다롭지만 기관마다 승인 기준과 검증 방식이 다릅니다. 어떤 사용자가 어떤 데이터에 접근할 수 있는지 공통 기준으로 판단할 수 없었고 환자 동의·IRB·목적 외 사용 금지 등 필수 절차가 표준화되지 않아 협력 연구의 기반을 마련하기조차 어려운 상황이었습니다.

  1. 멀티 기관 환경에서 다양한 역할의 사용자를 통합적으로 관리할 방법이 없었습니다.

데이터 제공자, 연구자, AI 개발자, 플랫폼 관리자 등 사용자 역할은 다양하지만 이를 중앙에서 일관되게 관리할 체계가 없었습니다. 기관마다 역할 정의와 권한 구조가 다르고 접근 권한·작업 환경·승인 절차가 분산되어 있어 사용자 통제가 복잡해지고 보안 사고 가능성도 증가했습니다. 특히 내부자에 의한 과도하거나 방치하고 있는 권한이 가장 큰 리스크로 지적되었습니다.

  1. 보안 규제와 감사 요구가 증가했지만 로그·승인·행위 기록이 분산되어 중앙 통제가 어려웠습니다.

ISMS-P와 같은 규제 환경은 데이터 접근 이력, 승인 내역, 행위 로그, 이상행위 탐지까지 모두 중앙에서 추적할 것을 요구합니다. 그러나 기존 구조에서는 기관별 로그 포맷과 정책이 달라 규정 준수 여부를 확인하기 어렵고 실시간 모니터링이나 위협 탐지가 사실상 불가능했습니다. 보다 강력한 중앙 보안체계가 절실한 상황이었습니다.

 

 

3. Solutions (해결 방안)

 

HALO는 AWS 기반 의료 데이터 보안 거버넌스 체계를 다음과 같이 구축했습니다.

  1. AWS Control Tower 기반 멀티 계정 거버넌스 구축

기관별 계정을 표준화하면서 중앙에서 보안 정책을 일괄 통제할 수 있었습니다. 이로써 여러 기관의 보안정책을 단일 프레임워크로 통합했습니다.

  1. IAM Identity Center 기반 통합 인증·권한 관리

역할 기반 보안정책(RBAC) 및 SSO 구현으로 연구자, 데이터 제공자, 관리자 등 역할에 따른 권한을 컨트롤할 수 있게 되었습니다.

  1. 중앙 보안관제(SOC) 구축으로 실시간 모니터링

모든 기관, 사용자의 보안 이벤트를 한곳에서 관제할 수 있습니다. 기관이 달라도 동일한 수준의 보안 감시와 대응이 가능해졌습니다.

  1. DataZone 기반의 승인 중심 접근제어

각 기관이 데이터 소유권을 보존한 상태에서 모든 접근을 요청–승인–권한 부여–회수의 표준화된 보안 절차로 통합하고 이를 투명하게 감사할 수 있는 멀티 기관 데이터 거버넌스 체계를 만들었습니다.

 

 

4. Results (성과)

 

이전에는 병원별로 보안 기준과 절차가 모두 달라 공격 표면·운영 부담·규제 리스크가 컸지만 HALO가 제시한 보안 거버넌스 도입 이후에는 통합된 중앙보안체계로 바뀌어 보안 수준은 높아지고 리스크는 줄었으며 협업 속도는 빨라졌습니다.

  • 각 기관이 따로 운영하며 넓어져 있던 공격 표면을 중앙 보안체계로 크게 축소했습니다.

  • 승인·권한·접근 절차가 표준화되면서 보안 리스크와 운영 부담이 동시에 감소했습니다.

  • 감사·규제 대응(특히 ISMS-P)의 준비 시간이 단축되고, 증적 수집 부담이 사라졌습니다.

  • 권한 회수·만료·기관 변경 등 권한과 접근의 사각지대를 줄여 내부 데이터 유출 위험을 최소화했습니다.

  • 기관 간 신뢰가 개선되어 여러 기관이 참여하는 공동 연구와 협업 속도가 빨라졌습니다.

  • 보안 관제와 위협 탐지가 중앙화되어 잠재적 사고 대응 시간이 대폭 단축되었습니다.

Related

Case Stories

Amorepacific(아모레퍼시픽)

Amorepacific(아모레퍼시픽)

국내 최대 규모의 클라우드 네이티브 전환으로 85% 비용 절감

Read More
GC Biopharma(GC녹십자)

GC Biopharma(GC녹십자)

2,845시간을 절감한 AI 기반 품질 문서 자동화

Read More
hy(한국야쿠르트)

hy(한국야쿠르트)

생성형 AI와 하이브리드 검색 기반 구축으로 HY 제품 검색 정확도 혁신 및 고객 자연어 추천 기능 확보

Read More
Able C&C

Able C&C

역대급 트래픽 속에서도 무중단으로 완주한 네고왕 이벤트

Read More
Global Ariline (K Company)

Global Ariline (K Company)

보이지 않던 공격 경로와 사각지대를 하나의 CNAPP에서 즉시 식별합니다.

Read More

Ready to unlock your data's potential?

Let's build intelligent data solutions that drive real business value through advanced analytics and AI.

정보보호 및 개인정보보호 관리체계 인증 ISMSP

인증범위메가존클라우드 서비스 운영

유효기간2025.10.22-2028.10.21

Cloud MSP, HyperBilling, 융합평생교육원, MegazonePoPs,
CloudPlex, SpaceONE, HALO, 메가버드, HyperMig

(심사받지 않은 물리적 인프라 제외)

ACT ACERTi

ISO/IEC 42001:2023
ISO/IEC 27001:2022
ISO/IEC 27018:2019

ISO/IEC 27017:2015
ISO/IEC 27701:2019
ISO 45001:2018