세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
들추고 싶지 않은 의료 분야 가장 큰 취약점 3가지
  |  입력 : 2017-09-08 09:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
의료정보 수집 및 이용과정 취약, 의료기기 적용 SW 취약점, 전문인력 부족

[보안뉴스 김경애 기자] 다양한 산업분야 가운데서도 보안이 취약한 곳으로 손꼽히는 분야가 바로 의료분야다. 의료분야는 사람의 생명과 직결될 수 있는 환자의 중요정보를 다루고 있고, 각종 의료장비가 네트워크에 연결됨에 따라 다양한 보안 취약점이 존재한다. 뿐만 아니라 각종 소프트웨어가 의료기기에 적용하면서 취약점이 증가하는 등 의료 분야 곳곳에 보안위협이 도사리고 있다.

[이미지=iclickart]


이러한 가운데 건국대학교 소프트웨어학과 한근희 교수는 의료분야의 보안위협 요소로 △내부자에 의한 악용 △서비스공급자에 의한 악용 △외부자에 의한 악용 △의료정보 시스템의 비인가 사용 △시스템 자원의 잘못된 사용 △유해 SW 유입 △네트워크 침투 △네트워크 장애 △인프라의 기술적 장애 △유해코드의 삽입 △우발적인 오류 전송 △인프라의 기술적 장애 △지원환경 장애 △시스템/네트워크 소프트웨어 장애 △응용SW 장애 △조작 오류 △유지보수 오류 △사용자 오류 △인적자원 부족을 꼽았다.

1. 의료정보 수집·저장·이용 과정에서의 보안 취약
특히, 의료정보는 수집·저장·이용하는 과정에서 보안이 제대로 뒷받침되어 있지 않으면 여러 구간에서 각종 취약점이 발생할 수 있다.

환자의 처방정보나 생활습관과 같은 의료정보가 아무런 보안조치 없이 혈압측정기나 혈당측정기 등과 같은 의료기기로 전송될 때 심각한 보안위협이 야기되기 때문이다.

환자정보가 담긴 의료기기에서 네트워크 통신으로 넘어가는 구간도 마찬가지다. 이를테면 블루투스로 동작하는 제심제동기가 보안에 취약하면 해커가 해킹을 통해 기기 작동을 무단으로 변경할 수 있다. 또한 랜선, 와이파이, BT, NFC, CDMA, 유·무선과 같은 통신으로 정보가 전송될 때 환자정보가 암호화되지 않고 평문전송될 경우 해커가 정보를 중간에서 가로채는 등 보안사고가 생길 수 있다.

영상정보도 예외는 아니다. X-Ray와 CT 등으로 촬영된 의료영상정보는 이미지 데이터를 저장·판독·검색하는 영상정보통합처리 시스템에 전송된다. 그런데 시스템이 보안에 취약할 경우 오진이 일어나거나 약이 잘못 처방되는 등 환자의 생명을 위협하는 치명적인 결과까지도 초래할 수 있다.

이외에도 의료분야 특성상 의사와 간호사를 비롯해 여러 사람이 같은 PC를 이용하다 보니 실수 등에 의한 보안 구멍이 생길수 있으며, PC 서버나 의료기관 종사자들이 사용하는 노트북이나 컴퓨터에서 의료기관 내부로 자료가 넘어갈 때도 보안 사고가 발생할 수 있다.

2. 의료기기에 사용되는 소프트웨어 취약성
특히, 의료기기에 적용되는 여러 가지 소프트웨어가 취약한 걸로 드러나 보안위협은 갈수록 커지고 있다. 이와 관련 한근희 교수는 “의료기기에서 사용되는 7개사 소프트웨어를 조사한 결과, 1개의 제품에서 1,418개의 취약점이 발견됐다”며 “그중 715개의 취약점은 최고 수준(cvss 7.0~10.0)의 위험성이 발견됐으며, 606개 취약점은 고위험(cvss 4.0~6.9), 97개 취약점은 위험(cvss 0~3.9) 수준”이라고 밝혔다.

의료기기의 소프트웨어 개발에 사용됐거나 사용될 수 있는 소프트웨어의 최대 90%가 외부 제품이나 솔루션으로 악용될 가능성이 있다. 승인받지 않은 사용자가 네트워크를 통해 기기에 접속해 원격으로 기기 조작을 하거나 설정을 변경할 수 있다.

3. 전문 보안인력 부족
마지막으로는 의료분야에 보안 전문인력이 턱없이 부족하다는 점이다. 보안인력 부족이야 비단 의료분야 뿐만은 아니지만 환자의 생명과도 직결될 수 있는 중요 정보를 다루고 있고, 의료기기에 여러 SW가 활용되고 있는 만큼 의료분야에서의 보안 전문인력이 충분히 확보되어야 한다는 지적이다.

이와 관련 한근희 교수는 “2020년까지 전 세계적으로 150만명 이상의 사이버보안 전문인력이 더 필요한 것으로 조사됐다”며 “보안인력 확충이 가장 시급한 분야가 의료를 포함한 제조분야이며, 업무에 필요한 지식과 기술을 보유한 전문 보안인력이 요구된다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)