earticle

영어

Recent medical services have been evolving through integration with information and communication technologies. To prevent security incidents in the healthcare service sector, a comprehensive investment in information security, incorporating various security measures, is essential. Sönmez et al. (2022) conducted risk assessments on hospital information system vulnerabilities and optimized security control measures using CysecTool, an attack graph-based information security investment optimization tool. In this study, we created an attack graph by utilizing vulnerability and countermeasure-related data from Sönmez et al. (2022) along with the actual network topology of major hospitals in Korea. Additionally, we improved the limitations of the CysecTool investment optimization model to enhance information security investment optimization. By developing a model that eliminates more threats than the CysecTool model under the same attack scenario, this study enables more efficient cybersecurity investment based on attack scenarios. The proposed model allows for a more effective risk management approach for cyberattacks targeting hospital information systems. Furthermore, by presenting various countermeasures, this research supports decision-making processes for executives in information security investments.

한국어

최근의 의료 서비스는 정보통신기술과 융합하여 발전하고 있으며, 의료 서비스 영역의 보안 사고를 예방하기 위해서는 다양한 보안 대책을 포함하는 포괄적인 정보보호 투자가 필요하다. Sönmez et al.(2022)은 Attack Graph 기반 정보보호 투자 최적화 툴인 CysecTool을 활용하여 병원 정보 시스템의 취약점에 대한 위험 평가와 제어 방안에 대한 최적화를 진행했다. 본 논문에서는 Sönmez et al.(2022)의 취약점과 대책 관련 데이터와 국내 주요 병원의 실제 네트워크 구조도를 활용하여 어택 그래프를 제작하고, CysecTool 투자 최적화 모델의 한계점을 개선하여 정보보호 투자 최적화를 수행했다. 동일한 공격 시나리오에서 CysecTool 모델보다 더 많은 위협들을 제거하는 모델을 개발하고 이를 통해 공격 시나리오에 기반하여 정보보호 투자를 더욱 효율적으로 수행할 수 있도록 한다. 본 연구에서 제안한 모델을 기반으로 병원 정보 시스템에 대한 공격 시나리오를 활용하여 사이버공격의 위험을 더욱 효율적으로 관리할 수 있다. 또한 다양한 해결 방안을 제시함으로써 경영진들의 정보보호 투자 의사결정을 지원할 수 있다.