경영정보학연구 (Information Systems Review)

  • 제27권1호
  • /
  • Pages.109-126
  • /
  • 2025
  • /
  • 2982-6551(pISSN)
  • /
  • 2982-6837(eISSN)
한국경영정보학회 (The Korea Society of Management Information Systems)
권호 표지
DOI QR코드

DOI QR Code

공격 시나리오 기반의 정보보호 투자 최적화: 병원 정보 시스템을 대상으로

Attack Scenario-Based Information Security Investment Optimization: A Case Study of Hospital Information System

  • 박건우 (충북대학교 컴퓨터공학과) ;
  • 김태성 (충북대학교 경영정보학과) ;
  • 박병조 (충북대학교 융합보안협동과정)
  • Geon-Woo Park (Department of Computer Engineering, Chungbuk National University) ;
  • Tae-Sung Kim (Department of MIS, Cybersecurity Economics Research Institute, Chungbuk National University) ;
  • Byeongjo Park (Department of Convergence Security, Chungbuk National University)
  • 투고 : 2024.07.18
  • 심사 : 2024.12.07
  • 발행 : 2025.02.28
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근의 의료 서비스는 정보통신기술과 융합하여 발전하고 있으며, 의료 서비스 영역의 보안 사고를 예방하기 위해서는 다양한 보안 대책을 포함하는 포괄적인 정보보호 투자가 필요하다. Sönmez et al.(2022)은 Attack Graph 기반 정보보호 투자 최적화 툴인 CysecTool을 활용하여 병원 정보 시스템의 취약점에 대한 위험 평가와 제어 방안에 대한 최적화를 진행했다. 본 논문에서는 Sönmez et al.(2022)의 취약점과 대책 관련 데이터와 국내 주요 병원의 실제 네트워크 구조도를 활용하여 어택 그래프를 제작하고, CysecTool 투자 최적화 모델의 한계점을 개선하여 정보보호 투자 최적화를 수행했다. 동일한 공격 시나리오에서 CysecTool 모델보다 더 많은 위협들을 제거하는 모델을 개발하고 이를 통해 공격 시나리오에 기반하여 정보보호 투자를 더욱 효율적으로 수행할 수 있도록 한다. 본 연구에서 제안한 모델을 기반으로 병원 정보 시스템에 대한 공격 시나리오를 활용하여 사이버공격의 위험을 더욱 효율적으로 관리할 수 있다. 또한 다양한 해결 방안을 제시함으로써 경영진들의 정보보호 투자 의사결정을 지원할 수 있다.

Recent medical services have been evolving through integration with information and communication technologies. To prevent security incidents in the healthcare service sector, a comprehensive investment in information security, incorporating various security measures, is essential. Sönmez et al. (2022) conducted risk assessments on hospital information system vulnerabilities and optimized security control measures using CysecTool, an attack graph-based information security investment optimization tool. In this study, we created an attack graph by utilizing vulnerability and countermeasure-related data from Sönmez et al. (2022) along with the actual network topology of major hospitals in Korea. Additionally, we improved the limitations of the CysecTool investment optimization model to enhance information security investment optimization. By developing a model that eliminates more threats than the CysecTool model under the same attack scenario, this study enables more efficient cybersecurity investment based on attack scenarios. The proposed model allows for a more effective risk management approach for cyberattacks targeting hospital information systems. Furthermore, by presenting various countermeasures, this research supports decision-making processes for executives in information security investments.

키워드

과제정보

이 논문은 2024년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구임 (RS-2024-00438796, 클라우드 기반 사이버 훈련장 구축 기술 및 사이버 훈련 시나리오 기술 언어(K-SDL) 개발).

참고문헌

  1. 과학기술정보통신부, 한국정보보호산업협회, 2023년 정보보호 실태조사, 2024.
  2. 보건복지부, 2020년 보건의료정보화 실태조사, 2021.
  3. 한국인터넷진흥원, 디지털 헬스케어 보안 모델, 2021.
  4. Almulhem, A., "Threat modeling for electronic health record systems", Journal of Medical Systems, Vol.36, 2012, 2921-2926. https://doi.org/10.1007/s10916-011-9770-6
  5. Argaw, S. T., J. R. Troncoso-Pastoriza, D. Lacey, M. V. Florin, F. Calcavecchia, D. Anderson, W. Burleson, J. M. Vogel, C. O. Leary, B. Eshaya-Chauvin, and A. Flahault, "Cybersecurity of Hospitals: discussing the challenges and working towards mitigating the risks", BMC Medical Informatics and Decision Making, Vol.20, No.146, 2020, 1-10. https://doi.org/10.1186/s12911-019-1002-x
  6. Coronado, A. J. and T. L. Wong, "Healthcare cybersecurity risk management: Keys to an effective plan", Biomedical Instrumentation & Technology, Vol.48, No.s1, 2014, 26-30. https://doi.org/10.2345/0899-8205-48.s1.26
  7. Fielder, A., E. Panaousis, P. Malacaria, C. Hankin, F. Smeraldi, "Decision support approaches for cyber security investment", Decision Support Systems, Vol.86, 2016, 13-23. https://doi.org/10.1016/j.dss.2016.02.012
  8. Ganin, A. A., P. Quach, M. Panwar, Z. A. Collier, J. M. Keisler, D. Marchese, and I. Linkov, "Multicriteria decision framework for cybersecurity risk assessment and management", Risk Analysis, Vol.40, No.1, 2020, 183-199. https://doi.org/10.1111/risa.12891
  9. IBM, Cost of a Data Breach Report 2022, 2022.
  10. Ismail, A., A. T. Jamil, A. F. A. Rahman, J.M. A. Bakar, N. M. Saad, and H. Saadi, "The Implementation Of Hospital Information System (HIS) in tertiary hospitals in Malaysia: A qualitative study", Journal of Public Health Medicine, Vol.10, No.2, 2010, 16-24.
  11. Javorník, M. and M. Husák, "Mission-centric decision support in cybersecurity via Bayesian Privilege Attack Graph", Engineering Reports, Vol.4, No.12, 2022, e12538. https://doi.org/10.1002/eng2.12538
  12. Khouzani, M. H. R., Z. Liu, and P. Malacaria, "Scalable min-max multi-objective cyber-security optimisation over probabilistic attack graphs", European Journal of Operational Research, Vol.278, No.3, 2019, 894-903. https://doi.org/10.1016/j.ejor.2019.04.035
  13. Lee, I., "Cybersecurity: Risk management framework and investment cost analysis", Business Horizons, Vol.64, No.5, 2021, 659-671. https://doi.org/10.1016/j.bushor.2021.02.022
  14. Lee, S. H., H. J. Jun, and T. S. Kim, "Early career turnover model and career path for self-realization: Findings in Korea's information security industry", Asia Pacific Journal of Information Systems, Vol. 33, No. 4, 2023, 1135-1155. https://doi.org/10.14329/apjis.2023.33.4.1135
  15. NBC News, "Baby died because of ransomware attack on hospital", 2021.10.1.
  16. Ponemon Institute, Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care, 2023.
  17. Smeraldi, F. and P. Malacaria, "How to spend it: optimal investment for cyber security", In Proceedings of the 1st International Workshop on Agents and CyberSecurity, 2014, 1-4.
  18. Sönmez, F. Ö., C. Hankin, and P. Malacaria, "Decision support for healthcare cyber security", Computers & Security, Vol.122, 2022, 102865. https://doi.org/10.1016/j.cose.2022.102865
  19. Taylor, C. R., Venkatasubramanian, K., Shue, C. A., "Understanding the security of interoperable medical devices using attack graphs", In Proceedings of the 3rd International Conference on High Confidence Networked Systems, 2014, 31-40.
  20. The HIPAA Journal, Change Healthcare Cyberattack Affected 100 Million Individuals, 2024.10., https://www.hipaajournal.com/change-healthcare-responding-to-cyberattack/, accessed on2024. 10. 28.
  21. The New York Times, "Cyber Attack Suspected in German Woman's Death", 2020.9.18.
  22. Wang, S., Z. Zhang, and Y. Kadobayashi, "Exploring attack graph for cost-benefit security hardening: A probabilistic approach", Computers & Security, Vol.32, 2013, 158-169. https://doi.org/10.1016/j.cose.2012.09.013
  23. Yeng, P., S. D. Wolthusen, and B. Yang, "Comparative analysis of threat modeling methods for cloud computing towards healthcare security practice", International Journal of Advanced Computer Science and Applications, Vol.11, No.11, 2020, 772-784. https://doi.org/10.14569/IJACSA.2020.0111194