국제의료정보포털

노르웨이, 전국 의료데이터 보호 위해 금융급 보안 프로토콜 FAPI 2.0 전면 도입

• 노르웨이 보건 디지털 인프라를 담당하는 노르웨이 건강 네트워크(Norwegian Health Network, NHN)가 국내 모든 △병원 △약국 △보건기관 대상 FAPI 2.0(Financial-grade API 2.0)^* 보안 프로토콜 도입을 의무화함
^*금융서비스 수준의 보안 표준을 적용한 API 접근·인증 프레임워크로, 주로 민감한 사용자 데이터를 안전하게 보호하기 위해 설계됨
• 이는 전 세계 의료분야 최초의 국가 단위 FAPI 2.0 도입 사례로, 보건 데이터 보안을 금융급 수준의 끌어올리기 위한 조치로 보여짐
• 이전까지 노르웨이 e-헬스 프로젝트들은 각기 OAuth(Open Authorization) 또는 OpenID Connect^** 기반의 보안 사양을 독자적으로 설정했으며, 이로 인해 공급업체는 표준화되지 않은 다양한 요구사항을 동시에 관리해야 했음
^** ① OAuth: 사용자의 비밀번호를 직접 주지 않고도, 다른 앱이 내 정보를 일부만 접근할 수 있게 허용하는 표준 기술 ^** ② OpenID Connect: OAuth 위에 만들어진 기술로, 신원을 인증하고 로그인 자체를 안전하게 처리하는 인증 기술
• NHN은 이를 개선하기 위해 모든 신규 API는 즉시 FAPI 2.0을 준수하도록 강제하고, 기존 서비스는 단계적 이행을 통해 통일된 개방형 보안 표준으로 전환 중임
• 특히 DPoP(Demonstration of Proof of Possession)^***와 같은 FAPI 2.0의 핵심 구성요소는 인증 토큰이 도난당하더라도 암호학적으로 무용하게 만들어 데이터 유출 리스크를 원천 차단함
^*** 클라이언트가 인증 토큰을 실제로 소유하고 있음을 증명하여, 토큰 도난 시에도 재사용을 방지하는 보안 기술
• NHN의 이번 FAPI 2.0 도입은 의료 부문을 넘어 다른 공공 및 민간분야에도 적용 가능한 모범사례로 국제 사회에 유의미한 참고 모델이 될 것으로 기대됨

[OpenID, 2025.06.24.; SecurityBrief, 2025.06.26.]