개인 정보 보호, 보안 및 확장성은 화상 통화의 기본입니다. 이 문서에서는 화상 통화 상담이 대규모로 안전하게 비공개로 진행되는 방법을 설명합니다.
화상 통화는 4가지 중요한 개념을 기반으로 합니다.
- 개인 정보 - 1988년 연방 개인 정보 보호법 및 호주 개인 정보 보호 원칙에 따라 개인 정보를 올바르게 수집, 사용, 공개 및 저장해야 할 의무를 정의합니다.
- 보안 - 영상 통화는 무단 액세스 및 사용으로부터 안전하며 해당 데이터는 신뢰할 수 있고 정확하며 사용할 수 있습니다.
- 데이터 주권 - 호주 개인 정보 보호 규정에 따라 환자 정보를 해외로 전송해서는 안 됩니다.
- 확장성 – 국가 기능으로서의 영상 통화는 기존의 화상 회의 인프라 설정 없이도 대량의 화상 상담을 처리할 수 있도록 구조적으로 확장 가능합니다.
이 네 가지 개념은 화상 통화 디자인의 기본입니다. 네트워크 아키텍처는 새로운 기능과 기능이 계속해서 요구되는 표준을 충족하도록 보장하는 설계 보증 프로세스에 의해 다루어집니다.
요약
화상 통화는 WebRTC(Web Real-Time Communications) 기술을 기반으로 합니다. WebRTC의 내장 보안은 완전히 암호화된 연결을 사용합니다.
화상 통화는 WebRTC 기술을 통해 실행되는 서버와 애플리케이션으로 구성된 전체적인 원격 의료 생태계로 설계되었습니다.
healthdirect 화상 통화는 사이버 보안 지침에 대한 해당 호주 정부 정보 보안 매뉴얼(ISM) Essential Eight 기준 및 HIPAA (건강 보험 이동성 및 책임법)를 따르고 디지털 발자국을 남기지 않음으로써 개인 정보를 보호합니다.
다른 비디오 상담 플랫폼은 통화 녹음을 포함한 통화 세부 정보를 비디오 서비스 제공자가 액세스할 수 있는 중앙 서버(보통 호주 외부)에 저장하고 임상의를 환자의 사전 동의 없이 개인 정보 보호 법률을 위반할 위험에 빠뜨릴 수 있습니다.
WebRTC 기반 시스템을 진정으로 안전하고 비공개로 만들기 위해 추가 보안 조치가 적용되었습니다.
- 가상 룸, 피어 및 세션은 사용자가 통신할 수 있는 안전한 환경을 제공합니다.
- 화상 통화는 기본적으로 개인 식별 정보 또는 보호 대상 건강 정보를 저장하지 않습니다.
- 최첨단 네트워크 보안은 도청 및 메시지 가로채기(man-in-the-middle) 공격을 방지합니다.
- 부하 테스트 및 코드 검토는 높은 수준의 애플리케이션 보안을 제공합니다.
이 페이지에서 우리는 영상 상담이 안전하고, 사적이며, 확장 가능하도록 하기 위해 어떤 단계가 수행되는지 설명합니다.
건강 등급 개인 정보 보호, 보안 및 데이터 보호는 화상 통화 설계의 기본입니다.
통화 보안
WebRTC 화상 통화 미디어 트래픽은 웹 브라우저 간 AES 128비트 또는 AES 256비트 암호화로 보호됩니다. 화상 통화와 같은 WebRTC 기반 서비스의 표준입니다. 그러나 이 보안은 시스템 인프라가 아닌 P2P 호출에만 적용됩니다. 모든 WebRTC 화상 통화의 여러 인프라 요소는 공격을 받을 수 있으며 화상 통화는 이러한 공격 벡터를 억제하기 위해 개발되었습니다.
예를 들어, 표준 WebRTC 호출 암호화는 호출의 양쪽 끝에서 공격자가 사용자를 가장하는 것을 막을 수 없습니다. 암호화도 시그널링, 애플리케이션 또는 릴레이(TURN) 서버가 하이재킹되는 것을 방지할 수 없습니다.
다음으로부터 보호하기 위해 화상 통화에 주요 개인 정보 및 보안 조치가 적용되었습니다.
- 환자와 상담하기 위해 온라인 클리닉에 잘못된 액세스 권한을 얻기 위해 다른 사람을 사칭하는 행위.
- 화상 통화 신호 또는 TURN 서버에 대한 무단 액세스를 얻기 위해 누군가에 의한 불법적인 가로채기.
- 환자 장치 또는 모니터링 서버의 통화 기록에 액세스하는 제3자의 통화 기록 관찰.
화상 통화의 개인 정보 및 보안 모델은 다음을 보장합니다.
- 클리닉의 승인된 서비스 제공자와 관리자만 환자에게 서비스를 제공할 수 있습니다.
- 모든 환자 상담은 1회 개인 영상 세션으로 진행되며,
- 일회성 비디오 세션은 영구 비디오 룸과 구별됩니다(후자는 클리닉 내부 목적으로 사용할 수 있음).
- 화상 통화 중 또는 화상실에서 교환된 환자 데이터는 상담이 끝난 후에도 지속되지 않거나 클리닉이 저장하기로 결정한 경우 클리닉에서만 사용할 수 있는 암호 해독 키로 암호화된 방식으로 저장됩니다.
- 신호 및 중계 서버는 암호화된 미디어 트래픽만 처리합니다.
- 서버 인프라를 해킹하여 임상의를 사칭하거나 상담을 참관할 수 없도록 최첨단 보안 설정 및 절차를 준수하며,
- 모든 소프트웨어 패치에 대한 피어 코드 검토는 애플리케이션 보안을 극대화하기 위해 수행됩니다.
데이터 보안
라이브 화상 통화뿐만 아니라 모든 데이터가 암호화됩니다.
화상 통화는 서비스 공급자 정보와 암호를 Amazon RDS( Relational Database Service )에 안전하게 저장합니다. 암호는 TLS( 전송 계층 보안 )를 사용하여 전송되며 일반 텍스트로 저장되지 않습니다. 화상 통화는 사용자 인증 및 권한 부여에 대한 현재 업계 표준을 충족하는 해시 및 솔티드 암호 해시만 RDS에 저장합니다.
화상 통화는 개인 식별이 가능하거나 보호되는 건강 정보를 저장하지 않습니다.
네트워크 보안
모든 오디오 및 비디오 데이터 및 라이브 화상 통화 중에 교환되는 기타 모든 데이터는 암호화됩니다.
화상 통화는 WebRTC 구현뿐만 아니라 모든 연결에 대해 최첨단 보안 메커니즘을 사용합니다. 브라우저와 응용 프로그램 서버, 신호 서버 또는 STUN/TURN 간의 연결은 모두 강력한 암호화 및 적절한 인증서 검사를 통해 TLS 암호화 및 인증됩니다. STUN/TURN 협상을 위한 TLS 보호는 화상 통화 통신의 재라우팅이 발생하지 않도록 합니다.
WebRTC 통신에 대한 보안은 신호 서버가 브라우저 간 통신을 위한 암호화 설정을 용이하게 함으로써 향상됩니다. 브라우저는 모든 데이터 채널에 대해 공유 키를 안전하게 설정합니다.
애플리케이션 보안
분산 시스템으로서 화상 통화 생태계의 모든 구성 요소는 공격에 대해 강화됩니다.
- 프로토콜 퍼징( Protocol fuzzing ) - 시그널링 서버가 메시지를 전송하기 위해 사용자 정의 프로토콜을 사용하기 때문에 예측되지 않거나 원하지 않는 동작으로 이어지는 코드 경로가 없는지 확인하기 위해 프로토콜 퍼저를 사용합니다. Video Call의 브라우저 구현은 동일한 프로토콜 퍼징을 거쳤습니다.
- 침투 테스트(펜 테스트) - 애플리케이션 서버와 통화 모니터링 시스템은 침입을 방어하기 위해 펜 테스트를 거쳤습니다. 펜 테스트는 정기적으로 수행됩니다.
- 브라우저 보안 – WebRTC는 브라우저를 피어 투 피어로 연결합니다. 프로토콜 퍼징은 화상 통화 브라우저 구현을 테스트하는 데 사용됩니다.
- 보안 모니터링 – 통신은 한 방향으로만 이루어집니다. 브라우저에서 통화 모니터로. 브라우저는 통화 모니터에만 정보를 보냅니다. 브라우저는 통화 모니터에서 정보를 가져오거나 받을 수 없습니다. 통화 모니터는 일반적인 위협으로부터 보호하기 위해 펜 테스트 및 퍼지를 거쳤습니다.
은둔
화상 통화는 호주 정부의 개인 정보 보호 정책을 준수합니다.
화상 통화 인프라 및 서비스는 1988년 영연방 개인정보 보호법 , 데이터 주권과 관련된 호주 개인정보 보호 원칙(섹션 8) 및 가능한 경우 호주 정부 정보 보안 매뉴얼(ISM) 의 지침을 준수합니다.
화상 통화 연결은 피어 투 피어(중앙 비디오 인프라를 통과하지 않는 브라우저 간)로 이루어집니다. 참가자 간의 실제 통화에서 공유된 데이터는 통화의 참여 끝점에서 해독된 형식으로만 사용할 수 있습니다. 통화를 전달하는 다른 모든 중개자는 암호화된 데이터만 볼 수 있습니다. 이는 오디오 및 비디오 데이터는 물론 채팅 메시지 및 문서와 같이 세션에서 교환되는 모든 정보에도 적용됩니다. 화상 통화는 기본적으로 통화의 공유 데이터를 저장하지 않습니다.
환자는 신뢰할 수 있는 서비스 제공업체 웹사이트를 통해 대기 구역에 입장하고 자신의 개인 비디오 룸에서 기다립니다. 예를 들어, 다른 환자와의 상담이 시간이 지남에 따라 서비스 제공자가 늦는 경우 환자는 서로 마주치지 않습니다. 영상통화로 생성된 방은 상담 후 삭제됩니다.
환자는 진료소에 액세스할 수 있는 권한이 있는 서비스 제공자 또는 진료소 관리자가 볼 수 있습니다. 권한 부여는 플랫폼에서 고유한 로그인 및 할당된 역할로 정의됩니다. 클리닉 관리자는 직원에게 이러한 액세스 권한을 할당할 책임이 있습니다.
기본적으로 영상 통화는 식별 가능한 환자 정보를 유지하지 않습니다. 환자는 플랫폼에 디지털 발자국을 남기지 않습니다.
데이터 주권
호주 데이터 또는 데이터 관리가 해외로 이전되면 더 이상 호주 내에서 통제되지 않으며 외국 법률 또는 외국 기업 관행의 적용을 받습니다. 외국 회사의 호주 데이터 액세스 및 제어는 개인 정보 및 데이터를 적절하게 보호할 호주인의 기존 권리를 인정하지 않습니다.
따라서 호주 시민에 대한 민감한 데이터는 외국 기관이 정보에 액세스할 수 없도록 보장할 수 있는 ASD( Australian Signals Directorate ) 인증 클라우드에 저장해야 합니다.
화상 통화는 AWS 가 ISM ( 호주 정부 정보 보안 매뉴얼 ).
화상 통화는 오스트레일리아 사용자의 경우 다음을 확인할 수 있습니다.
- 개인 건강 데이터는 호주의 법적 관할권 내에서만 사용되며,
- 모든 데이터 저장소의 제한은 육상 데이터 센터로 제한됩니다.
- 보안 프로토콜 및 시스템은 호주 및 ASD 요구 사항 내에서 유지됩니다.
확장성
- P2P 호출은 브라우저에서 브라우저로, 의료 서비스 제공자와 클라이언트 간에 직접 발생합니다. 이것은 중간 비디오 서버를 피하고 무제한의 병렬 호출을 허용합니다.
- 때로는 P2P 통화가 회사 방화벽 뒤에 붙어 있습니다. 이를 위해 중계 서버(STUN/TURN)가 있어 오디오, 비디오 및 데이터 스트림을 회사 경계 외부의 수신자에게 전달합니다. 릴레이 서버는 포화되기 전에 상당한 로드를 처리할 수 있지만 확장 가능한 방식으로 배포하는 것이 중요합니다. 화상 통화는 AWS 클라우드에 배포되어 중계 서버를 모니터링하고 더 높은 부하가 발견되면 추가 중계 작업을 투명하게 인수하는 추가 중계 서버가 생성됩니다. 이것을 '로드 밸런싱'이라고 합니다.
- 시그널링 서버는 영상 통화 설정에 관여하므로 확장 가능한 시그널링 인프라 배포에 특히 주의를 기울였습니다. 비디오 호출 신호 서버에서 부하 테스트가 수행되었으며 수십만 개의 병렬 호출을 지원할 수 있었습니다. 또한 신호 서버 네트워크는 통화 신호를 제공할 가장 가까운 신호 서버를 선택하여 화상 통화의 엔드포인트와 신호 서버 간의 지연 시간을 줄이기 위해 서로 다른 AWS 위치에 배포되었습니다.
- 웹 애플리케이션은 애플리케이션 서버에서 웹 브라우저로 배포됩니다. 많은 사용자가 화상 통화를 사용하기 시작하면 웹 응용 프로그램 서버도 매우 바쁠 수 있습니다. 화상 통화는 애플리케이션 서버에 대한 로드 밸런싱을 구현했습니다.
화상 통화는 확장되도록 설계되었습니다. 모든 데이터베이스 및 서버 인프라는 상태 비저장 마이크로서비스 아키텍처를 사용하여 설계되었으므로 각 구성 요소는 내결함성이 있고 특정 시점에 각 서비스의 부하에 맞게 개별적으로 수평 확장이 가능합니다.
조직에 대한 지원
- WebRTC 기반 - WebRTC 구성 요소는 많은 웹 및 통신 산업 보안 전문가의 지침과 검토 하에 오픈 소스 프로젝트의 Chrome, Firefox 및 Safari에서 구현됩니다.
- 건강 관리를 위한 설계 - 화상 통화 환경은 정기적으로 검토되고 건강 관리에 최적화됩니다. 다른 통신 서비스에 존재하는 취약점에 대한 노출은 화상 통화에서 제한됩니다.
- 웹을 통해 완전히 액세스 - 화상 통화가 최신 버전의 Chrome, Firefox 및 Safari에서 작동하도록 업데이트되었습니다(Microsoft Edge 지원은 깜박임 엔진으로 이동함에 따라 계획됨). 이러한 브라우저는 정기적인 보안 업데이트를 실행하므로 화상 통화 업데이트를 기다릴 필요가 없습니다.
- 브라우저 제한 애플리케이션 - 화상 통화는 웹 브라우저 내에서 안전하게 실행되어 웹 브라우저에 구현된 표준 보안 조치를 통해 사용 중인 컴퓨터의 데스크탑 환경이나 모바일 장치에 영향을 미치는 기능을 제한합니다.
- 네트워크 보안 - 화상 통화는 데스크톱, 랩톱 또는 모바일 장치에서 몇 가지 표준 HTTPS 및 보안 미디어 포트에만 액세스하면 됩니다. 리소스 센터의 ' 네트워크 기본 사항 ' 페이지에 자세히 설명되어 있습니다.
- 웹 프록시 서비스 - 화상 통화를 위한 웹 트래픽은 기존 웹 프록시 서비스 및 보안 정책을 사용합니다.
- 통화 품질 프로필 - 화상 통화 품질 프로필을 설정하여 임상의는 네트워크 링크에 대한 미디어 요구를 낮추어 특정 제한 내에서 유지할 수 있습니다.
- 접근성 - 영상 통화는 모든 사용자가 보편적으로 접근할 수 있도록 최선을 다하여 모든 서비스 제공자와 환자가 최상의 경험을 할 수 있도록 합니다. 시각 장애인 및 시각 장애가 있는 사용자를 지원하기 위해 웹 응용 프로그램은 화면 판독기에서 액세스할 수 있으며 확대/축소 도구를 사용할 수 있습니다. 영상 통화는 3자간 및 4자간 통화에서도 사용할 수 있으므로 수화 통역사가 라이브 비디오 세션에 참여하고 청각 장애인 사용자를 ASLAN 수화로 지원할 수 있습니다.