※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1808호(2017. 8. 9 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

의료 기기의 보안 침해 위험을 높이는 5가지 요소.pdf



ž 10여년 전부터 보안 전문가들이 강력하게 위험성을 지적해 왔음에도 불구하고, 의료 기기의 사이버 보안 수준은 여전히 심각한 수준임


Ø 대부분의 사람들은 의료 기기가 환자의 신체와 정보를 사이버 공격으로부터 안전하게 보호하도록 설계되어 있다고 생각하며, 실제로 의료 기기는 물리적 안전성 측면에서는 상당히 신뢰할 수 있고, 구동 후 수년 동안은 별다른 문제없이 완벽하게 작동함


Ø 그러나 의료 서비스 기관들이 점차 의료 기기를 인터넷에 연결하기 시작하면서부터 전문가들이 10여년 전부터 제기했던 의료기기 사이버 보안의 우려는 분명해지고 있는 반면, 인터넷을 이용한 악의적 공격에 대한 대응은 참담할 정도로 취약한 상태가 지속되고 있음


Ø 전문가들에 따르면 현재 사용되고 있는 의료기기는 외부와 단절된 폐쇄적 환경 하에서만 안전한 것이 대부분이지만, 불행히도 병원 네트워크는 신뢰할 수 있는 환경이라고 보기 어려움


Ø 병원 네트워크는 인터넷에 연결되어 있고 엄청난 수의 내부 관계자가 이용하고 있는데, 그 중 누군가 악성 링크를 클릭하거나 악성 첨부 파일을 다운로드 하는 일이 일어날 수 있기 때문


[1] 공개된 의료기기 보안 침해 위험 사례

시기

공개 주체

주요 내용

2016. 12

IDC

- 10종류의 이식형 제세동기에서 통신 프로토콜 보안 결함이 발견

2017. 05

WhieScope

- 4개 심장박동기 제조업체의 7개 제품에서 8천개 이상의 보안 취약점이 발견

2017. 05

Trend Micro

- 인터넷 연결기기 검색엔진 쇼단(SHODAN)에서 의료 관련 기기가 미국에서만 3 6천개 이상이 발견

2017. 05

Synopsys

- 의료기기 제조업체 및 의료 서비스 기관의 약 3분의1은 완전한 보안을 제공하지 못하는 의료 기기가 환자에게 위험을 초래할 가능성에 대해 인식하고 있음

- 위험 인식에도 불구하고, 의료 기기에 대한 공격을 방지하기 위해 상응하는 대책을 강구하고 있는 의료기기 제조업체는 전체의 17%, 의료 서비스 기관은 전체의 15%에 그치고 있음

<자료> IITP 정리


ž 심지어 의료기기의 보안 위협이 존재한다는 것은 인정해도, 실제로 신체적 위해의 우려가 얼마나 급박한 것인지에 대한 논란이 이어지며 대응책 마련을 지연시키고 있기도 함


Ø 해킹된 기기에 의한 신체 위해 우려 가능성에 대해서는 의료 기기 보안 전문 연구원이자 자신이 제1형 당뇨병을 갖고 있는 제이 래드클리프가 세계 최대 보안 컨퍼런스인 블랙햇(Black Hat) 2014에서 발언한 내용이 종종 인용되고 있음


Ø 그는 의료 기기의 사이버 공격으로 피해를 받는 것보다 공격자가 내 뒤에 소리 없이 다가와 야구 방망이로 머리에 치명적인 일격을 가하는 것의 가능성이 더 높다고 말한 바 있음


Ø 그 밖에도 적지 않은 보안 전문가들이 의료 기기에 대한 표적 공격으로 인해 환자의 신체에 피해가 발생했다는 기록은 아직까지 파악되지 않고 있다고 말하고 있음


Ø 그러나 혁신기술 R&D 기업인 버텔(Battelle)에 따르면 의료 기기의 오작동 원인이 악성 사이버 공격에 의한 것인지 여부는 많은 경우 제대로 규명되지 않은 채 무시되고 있다고 함


Ø 의료 기가가 이상한 동작을 했을 때 근본 원인을 규명하기 위해 적법한 검사를 실시하는 업체나 의료기관은 사실상 없으며, 어떻게 일어나게 됐는지 아무도 파악하려고 애쓰지 않는다는 것


Ø 버텔에 따르면 의료 기기의 종류나 그것이 의료기관 내부와 외부 중 어디에서 사용되는 것인 지와 관계없이 위험은 본질적으로 동일한데, 의료 기기가 제대로 작동을 계속하지 않아 환자의 생명을 위협하는 사례는 무수히 많이 있음


Ø 이러한 기기를 컨트롤 할 수 있는 공격자라면 그 기능을 수정하여 환자에게 해를 끼칠 수 있으며, 최악의 경우 그 피해에는 죽음도 포함됨


자료: PC World


[그림] GE 의료기기에서 빈번히 사용되는 디폴트 로그인과 패스워드



ž 의료 기기 보안 위협을 중시하는 전문가들은 특정 기기의 취약성이 문제라기 보다는 기기의 어떤 개별 요소, 특히 5가지 요소가 환자에게 피해를 입힐 위험이 크다고 지적함


Ø 전문가들은 특정 의료 기기를 금지하는 등의 대응이 필요한가에 대해서는 부정적 입장인데, 기기 별로 혹은 기기의 모델 별로 취약성의 정도를 비교하기는 매우 어렵기 때문


Ø 그 보다는 기기의 개별 기능들에 주목할 필요가 있는데, 공격자에게 해킹을 하도록 관심을 불러 일으키는 정도나 기기 사용자들에게 미치는 이해의 정도가 모두 그러한 기능으로 결정되기 때문이며, 이런 관점에서 특히 보안 위험을 높이는 5가지 요소에 주목해야 한다고 함


ž 첫 번째는 클라우드와 연계 기능으로 특히 환자의 생명 유지와 관련된 기기일 경우 클라우드 연계로 인해 해킹될 경우 치명적 위험에 직면할 수 있음


Ø 미국 식품의약국(FDA)은 의료 기기 중 박동기나 혈당 측정기처럼 인명의 유지에 관련된 장비를 클래스 (Class III)로 분류하고 있는데, 이 카테고리의 의료 기기는 전체의 10% 정도지만 만일 기기가 해킹될 경우 환자의 생명과 건강에 치명적 위험을 미칠 수 있음


Ø 예를 들어 스마트폰과 연결해 혈당 수치를 간단히 파악할 수 있는 혈당 측정기의 경우, 그 스마트폰 앱이 해킹을 받아 실제 상태와 다른 데이터를 전달하게 된다면, 이용자는 혈당 관리에 대해 잘못된 판단을 내려 돌이킬 수 없는 건강상 피해를 입을 수 있음


Ø 보안업체 시놉시스(Synopsys)는 클라우드와 연계하여 기능을 수행하는 의료 기기는 원격 의료에 가깝다며 기능이 제대로 작동하지 않을 경우의 문제점을 지적하고 있음


Ø 가령 클라우드를 통해 원격으로 대응할 수 있는 주입 펌프 및 환자 모니터링 장비 등은 인터넷에 연결하지 않을 수 없는데, 서비스를 방해 받거나 서비스가 거부될 여지가 높기 때문에 이런 경우 기기를 사용하지 못함에 따라 발생하는 환자의 피해를 반드시 고려해야 함


ž 두 번째 요소는 무선 연결 기능으로 클라우드 연결보다 위험도가 더 높다고 할 수 있음


Ø 건강 측정 기기인 핏빗(Fitbit)은 블루투스로 스마트폰과 연결되는데, 핏빗이 다른 기기와 통신하는 것은 아니므로 대체로 괜찮다고 할 수 있으나 스마트폰은 경우가 달라서 의료뿐 아니라 온갖 종류의 기술이 집약되어 있다는 점을 간과하지 말아야 함


Ø 대부분의 사람들은 블루투스 통신 기능이 있는지 여부조차 모르며 보안을 지키는 방법은 기업이 당연히 강구해주고 있을 것이라 믿고 있지만, 이런 종류의 무선 기술이 일단 활성화되고 나면 공격자들의 관심이 매우 높아지게 됨


ž 세 번째 요소는 상용 OS 및 소프트웨어의 낮은 버전으로 의료기관들이 대체로 오래된 운영체제를 사용하고 있다는 점은 랜섬웨어 공격의 좋은 먹잇감이 될 수 있음


Ø 최근 기승을 부린 랜섬웨어 워너크라이(WannaCry)의 경우는 의료 기기를 대상으로 한 것이 아니었고 병원을 겨냥했다고 볼 수 있는 단서는 아무 것도 없었으나 일단 방어막이 뚫리자 다수의 병원이 감염되어 영향을 받았음


Ø 이런 종류의 웜 바이러스 공격은 취약한 것은 무엇이든 찾기 때문에 취약한 장비를 인식하고 공격했던 것이며, 개별 의료 기기가 공격을 받지는 않는다 해도 만일 병원 시스템의 모든 내용이 해커에 의해 암호화된다면 진찰이나 치료용 장비가 모두 정지되었을 지도 모름


Ø 이 점이 우려 되는 것은 특히 의료기관에서 사용하고 있는 시스템 중 오래된 것이 많기 때문인데, 보안 솔루션 업체인 트렌드 마이크로의 조사에 따르면 인터넷 연결 기기 검색엔진인 쇼단(SHODAN)에 검색된 디바이스 중 아직도 윈도 XP에서 움직이는 기기가 3% 이상임


Ø XP 운영체제는 마이크로소프트에서 이미 지원을 종료하고 있기 때문에 보안 업데이트가 제공되지 않으므로 취약점에 대한 공격을 막아내기가 매우 어려움


ž 네 번째 요소는 환자 데이터 저장 기능으로 저장된 데이터를 겨냥한 공격에 의해 데이터가 손상 받을 위험이 높아짐


Ø 의료 기기 중 환자의 데이터를 보유하고 있는 것은 침해 위험으로부터 취약한데, 이 기기들은 전자건강기록(EHR: Electronic Health Record) 시스템과 직접 통신하는 것이 일반적이기 때문


Ø X-레이 장비와 의료영상관리시스템(PACS: Picture Archiving and Communication System)에 대한 공격은 이미 실제로 일어나고 있는데, 이 장비들 중에는 환자의 기록을 통째로 유지하고 있는 시스템도 있기 때문


Ø 각 기기들은 해당 환자의 기록 DB와 통신하는 구조로 되어 있어, 이곳은 동일한 환자의 나머지 데이터로 접근할 수 있는 교두보가 되기 때문에 우선적인 공격 대상이 됨


Ø 박동기, 인슐린 펌프, CT 장치, MRI 장치, 전자건강기록 시스템은 특히 침해 위험이 큰데, 의료기관의 환경이 점차 다양한 의료 플랫폼과 상호 연결하고 있기 때문이며, 환자에 치명적 위험을 미칠 수 있는 이들 기기를 해킹하는 방법은 이미 여러 가지가 알려져 있음


ž 다섯 번째 요소는 타사의 서버에 연결해 장비를 사용하는 경우로 장비의 보안이 타사의의 보안 수준에 좌우되는 위험에 처하게 됨


Ø 원격 모니터링은 당직중인 직원이 물리적으로 병원의 둘러 보는 것이 힘든 병원에서 모든 환자들에게 눈을 돌릴 수 있다는 이유로 크게 확산되고 있지만, 써드파티의 서버를 사용하는 경우 보안 위험 수준은 매우 높아짐


Ø 타사의 서버에 연결해야 하는 장비는 타사의 보안에 좌우될 수밖에 없기 때문에 의료 기관으로서는 보안에 구멍이 뚫리는 셈인데, 이는 의료기관의 외부로 이어지는 모든 연결에 동일하게 적용될 수 있는 보안 위협임


Ø 가령 구급차에 탑재된 장비 중에는 병원의 서버에 연결되는 기능을 가진 것이 있는데, 병원에서 의사가 환자를 맞이할 때 구급차에서 이미 끝낸 조치를 파악하도록 하기 위한 장비이긴 하지만 병원 내 시스템에서 정보를 교환하는 것보다 통신의 안전도는 낮아지게 됨


Ø 갖은 맥락에서 병원 네트워크에 있는 PC써드파티로 볼 수 있는데, 컴퓨터를 통해 제어하는 ​​의료 기기가 많기 때문에 의료 기기 자체가 취약하지 않더라도 이러한 장치를 통제하는 컴퓨터를 탈취한 공격자가 암호를 알아낸 후 장치를 직접 공격 할 수도 있기 때문