세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
들추고 싶지 않은 의료 분야 가장 큰 취약점 3가지
  |  입력 : 2017-09-08 09:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
의료정보 수집 및 이용과정 취약, 의료기기 적용 SW 취약점, 전문인력 부족

[보안뉴스 김경애 기자] 다양한 산업분야 가운데서도 보안이 취약한 곳으로 손꼽히는 분야가 바로 의료분야다. 의료분야는 사람의 생명과 직결될 수 있는 환자의 중요정보를 다루고 있고, 각종 의료장비가 네트워크에 연결됨에 따라 다양한 보안 취약점이 존재한다. 뿐만 아니라 각종 소프트웨어가 의료기기에 적용하면서 취약점이 증가하는 등 의료 분야 곳곳에 보안위협이 도사리고 있다.

[이미지=iclickart]


이러한 가운데 건국대학교 소프트웨어학과 한근희 교수는 의료분야의 보안위협 요소로 △내부자에 의한 악용 △서비스공급자에 의한 악용 △외부자에 의한 악용 △의료정보 시스템의 비인가 사용 △시스템 자원의 잘못된 사용 △유해 SW 유입 △네트워크 침투 △네트워크 장애 △인프라의 기술적 장애 △유해코드의 삽입 △우발적인 오류 전송 △인프라의 기술적 장애 △지원환경 장애 △시스템/네트워크 소프트웨어 장애 △응용SW 장애 △조작 오류 △유지보수 오류 △사용자 오류 △인적자원 부족을 꼽았다.

1. 의료정보 수집·저장·이용 과정에서의 보안 취약
특히, 의료정보는 수집·저장·이용하는 과정에서 보안이 제대로 뒷받침되어 있지 않으면 여러 구간에서 각종 취약점이 발생할 수 있다.

환자의 처방정보나 생활습관과 같은 의료정보가 아무런 보안조치 없이 혈압측정기나 혈당측정기 등과 같은 의료기기로 전송될 때 심각한 보안위협이 야기되기 때문이다.

환자정보가 담긴 의료기기에서 네트워크 통신으로 넘어가는 구간도 마찬가지다. 이를테면 블루투스로 동작하는 제심제동기가 보안에 취약하면 해커가 해킹을 통해 기기 작동을 무단으로 변경할 수 있다. 또한 랜선, 와이파이, BT, NFC, CDMA, 유·무선과 같은 통신으로 정보가 전송될 때 환자정보가 암호화되지 않고 평문전송될 경우 해커가 정보를 중간에서 가로채는 등 보안사고가 생길 수 있다.

영상정보도 예외는 아니다. X-Ray와 CT 등으로 촬영된 의료영상정보는 이미지 데이터를 저장·판독·검색하는 영상정보통합처리 시스템에 전송된다. 그런데 시스템이 보안에 취약할 경우 오진이 일어나거나 약이 잘못 처방되는 등 환자의 생명을 위협하는 치명적인 결과까지도 초래할 수 있다.

이외에도 의료분야 특성상 의사와 간호사를 비롯해 여러 사람이 같은 PC를 이용하다 보니 실수 등에 의한 보안 구멍이 생길수 있으며, PC 서버나 의료기관 종사자들이 사용하는 노트북이나 컴퓨터에서 의료기관 내부로 자료가 넘어갈 때도 보안 사고가 발생할 수 있다.

2. 의료기기에 사용되는 소프트웨어 취약성
특히, 의료기기에 적용되는 여러 가지 소프트웨어가 취약한 걸로 드러나 보안위협은 갈수록 커지고 있다. 이와 관련 한근희 교수는 “의료기기에서 사용되는 7개사 소프트웨어를 조사한 결과, 1개의 제품에서 1,418개의 취약점이 발견됐다”며 “그중 715개의 취약점은 최고 수준(cvss 7.0~10.0)의 위험성이 발견됐으며, 606개 취약점은 고위험(cvss 4.0~6.9), 97개 취약점은 위험(cvss 0~3.9) 수준”이라고 밝혔다.

의료기기의 소프트웨어 개발에 사용됐거나 사용될 수 있는 소프트웨어의 최대 90%가 외부 제품이나 솔루션으로 악용될 가능성이 있다. 승인받지 않은 사용자가 네트워크를 통해 기기에 접속해 원격으로 기기 조작을 하거나 설정을 변경할 수 있다.

3. 전문 보안인력 부족
마지막으로는 의료분야에 보안 전문인력이 턱없이 부족하다는 점이다. 보안인력 부족이야 비단 의료분야 뿐만은 아니지만 환자의 생명과도 직결될 수 있는 중요 정보를 다루고 있고, 의료기기에 여러 SW가 활용되고 있는 만큼 의료분야에서의 보안 전문인력이 충분히 확보되어야 한다는 지적이다.

이와 관련 한근희 교수는 “2020년까지 전 세계적으로 150만명 이상의 사이버보안 전문인력이 더 필요한 것으로 조사됐다”며 “보안인력 확충이 가장 시급한 분야가 의료를 포함한 제조분야이며, 업무에 필요한 지식과 기술을 보유한 전문 보안인력이 요구된다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)