통합 플랫폼의 정의(Unified Platform Defined)라는 이름으로 열리는 이번 온디맨드 웨비나에서 통합 플랫폼의 5가지 핵심 사항을 알아보는 한편, 통합 플랫폼이 어떤 방식으로 임상시험 관련 어려움을 해결하여 향후 성공적인 임상시험 수행에 기여할 수 있을지 확인해 보시기 바랍니다.
이 포스트는 통합 기술 플랫폼의 가장 중요한 특성에 대한 5부작 시리즈 중 네 번째 시리즈입니다. 이 시리즈의 다른 네 가지 요소: 상호운용성, 협업, 단일 데이터 소스, 그리고 확장성에 대해서도 기대해 주세요!
여느 기업을 막론하고 데이터는 가장 소중한 기업 자산으로 꼽힙니다. 지난 2018년 수행된 포네몬 연구소(Ponemon Institute)의 연구 결과에 따르면, 세계적으로 데이터 침해로 인해 지출된 비용이 평균 386만 달러로 전년 대비 6.4% 상승했습니다. 민감 정보 및 기밀 정보가 담긴 기록의 분실이나 도난으로 인해 지출된 평균 비용도 4.8% 상승해 건당 148달러 수준으로 파악됐습니다.[1]
여전히 많은 기업이 최신 보안 기능이 미비한 구식 컴퓨터 시스템을 사용하는 상황에서 전체 규모가 3조 달러에 달하는 미국 의료서비스 업계는 사이버 범죄 조직의 먹잇감으로 전락하고 있습니다.[2]
메디데이터는 정보 보안과 개인정보 보호, 품질 관리를 매우 중시하는 기업입니다. 고객은 저희를 믿고 데이터 보호를 요청합니다. 이러한 신뢰는 메디데이터가 세계 최고 수준의 데이터 보호, 정보 보안 서비스를 제공할 수 있는 바탕이 됩니다. 데이터 보안과 개인정보 보호가 임상시험의 성공을 좌우하는 오늘날, 메디데이터의 Rave Clinical CloudTM 플랫폼은 시험 설계에서 API에 이르기까지 전 단계에 걸쳐 데이터와 개인정보를 철저하게 보호합니다.
통합 임상 플랫폼은 정보 보안, 개인정보 보호, 품질 기능 등을 포함하는 통합 데이터 보호 전략에 기반해야 합니다. 이 모든 요소가 어우러져 보안, 안정성, 확장성을 겸비한 클라우드 플랫폼의 토대를 형성하게 됩니다. 견고한 데이터 관리 체계와 언제든지 점검 가능한 품질 관리 시스템은 물론 기본입니다. 얼마 전 메디데이터가 개최한 NEXT London 컨퍼런스에서 당사 글로벌 컴플라이언스(Global Compliance)팀과 전략(Strategy)팀은 정보 보안과 개인정보 보호, 품질 관리 기능의 통합이 어떠한 방식으로 메디데이터 플랫폼 전반에 걸쳐 이러한 통합 데이터 보호 전략을 제공하는지 설명 드렸습니다. 내용은 여기에서 확인하실 수 있습니다.
정보 보안·및 보호 체계 통합
메디데이터에서는 설계 단계에서부터 보안을 고려하는 보안 내재화(security-by-design) 방식을 채택하고 있으며, 최첨단 기술과 기법을 모두 활용하여 신종 사이버 위협에서 데이터를 보호합니다. 또한, 암호화, 악성 소프트웨어 차단, 데이터 손실 방지 기능을 경계(perimeter), 플랫폼 레벨에서 제공합니다. 다중 강화 시스템을 비롯한 당사 자체 기술은 모두 독립된 외부 기관에서 지속적으로 시험 및 검증합니다.
메디데이터는 언제나 네트워크 보안을 가장 중요하게 생각합니다. 보안의 출발점은 경계입니다. 여기에는 물론 메디데이터는 디도스(DDoS, Distributed Denial of Service) 공격이 진행되는 동안에도 변함없이 고가용성을 제공하는 라우터와 로드 밸런서도 포함됩니다. 또한 목적이 불분명한 인바운드 및 아웃바운드 포트를 거부하는 방화벽까지 추가해 경계 보안을 한층 강화합니다. 인증을 받아 방화벽을 통과한 데이터는 다시 일련의 악성 소프트웨어 스캐너와 침입 감지/방지 시스템을 거칩니다. 네트워크는 수시로 스캔하며, 새로운 인터넷 보안 취약점을 파악하고 시정하고자 매년 외부 기관에 의뢰하여 평가를 받습니다.
애플리케이션 보안. 메디데이터에서는 애플리케이션 개발 단계에서 자체적으로 수차례 테스트를 실시합니다. 개발 중인 제품은 철저한 보안 테스트를 거치는데, 이때 자체 해킹 단계를 실시하여 당사 소스코드를 잘 모르면 좀처럼 포착하기 어려운 문제를 찾아내 해결합니다. 그 다음에는 제품의 복원력을 재고하는 차원에서 각 제품의 상호운용성을 평가합니다.
이와는 별개로 외부 평가 기관에 당사 소프트웨어를 제공해 초기 테스트에서 미처 감지하지 못한 취약점을 포착, 보완하도록 요청하기도 합니다. 이렇듯 메디데이터는 자체 혹은 외부 테스트에서 발견된 취약점을 분석하여 보완합니다. 내부 팀에서 90일 내에 해결하지 못한 문제는 CISO(Chief Information Security Office)에서 검토하게 됩니다. 단, 소프트웨어 제조업체에서 패치를 제공하지 않거나 제품 배포 전 광범위한 개발 및 테스트가 필요한 경우 해결 기한은 연장될 수 있습니다.
물리적 보안. 메디데이터는 데이터센터 설계, 구축, 운영 경험이 풍부한 기업입니다. 당사는 경비 인력과 스마트 ID 배지를 사용한 전자식 접근, 비디오 감시, 생체 인식 스캐너로 이루어진 군사급의 물리적 보안 서비스를 제공합니다. 데이터 센터 건물은 외관상 눈에 잘 띄지 않으며, 위치는 필요한 경우를 제외하곤 공개되지 않습니다.
개인정보 보호 체계 통합
메디데이터는 보안과 더불어 개인정보에도 내재화(privacy-by-design) 방식을 적용했습니다. 개인정보 보호 기능은 전체 서비스 수명주기에 내재되어 있습니다. 당사는 GDPR을 준수하는 데이터 처리 별첨(Data Processing Exhibit)에서 통합 데이터 관리 프로그램에 이르기까지, 플랫폼 전반에 걸쳐 민감한 임상시험 데이터 관리를 책임지고 감독합니다.
워크스테이션에서 목적지까지 모든 데이터는 TLS1.2(Transport Layer Security) 암호화 기술로 보호하며, 고급 암호화 알고리즘(256비트)을 도입하여 전체적으로 미사용 데이터 암호화(Encryption at Rest) 환경을 구현했습니다.
개인정보 보호 관련 규제는 나라마다 제각각입니다. 메디데이터에서는 세계 각국의 개인정보 보호 정책을 검토하여 미국에서 전송, 저장되는 데이터와 관련해 관리 계통에서 가장 엄격한 기준을 준수하도록 방침을 정했습니다. 당사는 2011년부터 EU-US 세이프 하버(Safe Harbor) 프로그램에 참여해 자체 인증을 받았고, 2016년에는 세이프 하버를 대체하는 프라이버시 실드(Privacy Shield)에 이어서 참여한 바 있습니다.
메디데이터는 생명과학 업계 최초로 클라우드 내 개인 식별 정보(PII) 보호 서비스를 통해 ISO 27018 인증을 획득한 기업 중 하나이기도 합니다.
품질 관리
메디데이터의 통합 보호 전략을 구성하는 마지막 요소는 언제든지 점검 가능한 품질 관리 시스템입니다. 여기에는 고객의 요구와 기대 사항을 충족하고 관련 규제 요건을 준수하는 방식으로 당사 소프트웨어 제품과 서비스를 개발, 구현, 유지 및 관리하는 데 필요한 정책과 절차가 포함됩니다. 메디데이터는 Rave Clinical Cloud를 관리하는 체계가 설계, 운영 측면에서 얼마나 효율적인지 독립적인 의견을 개진하며 이를 SOC2+ 보고서에 담아 공개합니다. 보고서에서는 품질 관리 시스템, 보안, IT 호스팅 운영, 소프트웨어 개발 수명주기, 데이터 무결성(예: 전자 기록, 전자 서명 등)을 비롯해 다양한 내용을 다룹니다.
메디데이터는 데이터 보호, 보안, 개인정보 보호, 품질 기능 등과 관련해 신뢰와 투명성을 확보하는 데 앞장서고 있습니다. 자세한 내용은 여기에서 확인하실 수 있습니다.
[1] https://www.ibm.com/security/data-breach
[2] https://www.reuters.com/article/us-cybersecurity-hospitals/your-medical-record-is-worth-more-to-hackers-than-your-credit-card-idUSKCN0HJ21I20140924