“HIPAA 규정만 잘 지켜도 막을 수 있어”
“가이드라인 가지고는 랜섬웨어 막기 힘들어”
[보안뉴스 문가용] 올해 초 큰 병원 몇 곳이 랜섬웨어 앞에 무릎을 꿇는 일이 생겼다. 이 때문에 의료업계가 랜섬웨어에 ‘특히나’ 취약할 수밖에 없다는 것이 드러났다. 이에 연방정부는 HIPAA를 통해 랜섬웨어 공격에 대한 대처를 연구하기 시작했다. 그리고 최근 새로운 가이드라인을 발표했다.
▲ 이렇게 알 찬 가이드라니! vs. 난 아무 것도 안 보이는데...
이번 주 미국 인권사무국의 건강복지사업부(US Health and Human Services Office for Civil Rights)는 의료기관들이 랜섬웨어 공격을 이해하고, 방지하고, 대비할 수 있도록 도울 수 있는 가이드라인을 발표했다. 랜섬웨어 공격을 어떻게 탐지하고, 어떻게 피해를 최소화하고, 평소 데이터를 어떤 식으로 보관하고 백업은 어떻게 하는 것인지에 대해 상세한 안내가 나와 있다. 기존의 HIPAA의 필수사항만 잘 지켜도 랜섬웨어를 막는 데에 충분하다는 것도 강조되어 있으며, HIPAA의 기존 규정이 랜섬웨어 공격에 어떤 식으로 적용되는지도 설명이 되어 있다.
“새로운 가이드라인은 의료 산업에 종사하고 있는 기업들이 위협에 어떻게 대처해야 하는지를 HIPAA의 기존 규정들을 바탕으로 설명하고 있습니다.” 인권사무국 국장인 조셀린 사무엘스(Jocelyn Samuels)가 블로그를 통해 밝힌 그대로다. 이번 가이드라인에 등장하는 실천사항들로는 1) 전자 건강 정보에 대한 위협들을 분석한다 2) 사용자들이 멀웨어 탐지를 보다 잘 할 수 있도록 훈련시킨다 3) 전자 정보 및 기록에 대한 사용자 접근을 제한한다 4) 데이터 백업, 복구 실험 등 비상 대책을 마련한다 등이 있다.
하지만 일부 보안 전문가들은 “이것만 지킨다고 의료업계를 보호했다고 말할 수준이 되는지 모르겠다”는 의견을 내비치기도 했다. 엔에스포커스(NSFOCUS)의 수석 연구분석가인 스티븐 게이츠(Stephen Gates)는 “물론 랜섬웨어로부터 조직 및 업체들을 지키겠다는 목적 자체는 훌륭하다”고 하며 “하지만 결국 문제는 부주의하거나 아무런 생각 없이 하는 그 한 순간의 클릭인데, 그 어떤 가이드라인이 이를 실제적으로 막을 수 있겠는가?”라고 되물었다.
“랜섬웨어는 취약점을 익스플로잇하는 멀웨어가 아닙니다. 취약한 사람들과 그 브라우징 행위를 공략하는 페이로드죠. 솔직히 가이드라인을 아무리 발간한다 한들 이 문제가 해결될 수 있을는지 모르겠습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
“가이드라인 가지고는 랜섬웨어 막기 힘들어”
[보안뉴스 문가용] 올해 초 큰 병원 몇 곳이 랜섬웨어 앞에 무릎을 꿇는 일이 생겼다. 이 때문에 의료업계가 랜섬웨어에 ‘특히나’ 취약할 수밖에 없다는 것이 드러났다. 이에 연방정부는 HIPAA를 통해 랜섬웨어 공격에 대한 대처를 연구하기 시작했다. 그리고 최근 새로운 가이드라인을 발표했다.
▲ 이렇게 알 찬 가이드라니! vs. 난 아무 것도 안 보이는데...
이번 주 미국 인권사무국의 건강복지사업부(US Health and Human Services Office for Civil Rights)는 의료기관들이 랜섬웨어 공격을 이해하고, 방지하고, 대비할 수 있도록 도울 수 있는 가이드라인을 발표했다. 랜섬웨어 공격을 어떻게 탐지하고, 어떻게 피해를 최소화하고, 평소 데이터를 어떤 식으로 보관하고 백업은 어떻게 하는 것인지에 대해 상세한 안내가 나와 있다. 기존의 HIPAA의 필수사항만 잘 지켜도 랜섬웨어를 막는 데에 충분하다는 것도 강조되어 있으며, HIPAA의 기존 규정이 랜섬웨어 공격에 어떤 식으로 적용되는지도 설명이 되어 있다.
“새로운 가이드라인은 의료 산업에 종사하고 있는 기업들이 위협에 어떻게 대처해야 하는지를 HIPAA의 기존 규정들을 바탕으로 설명하고 있습니다.” 인권사무국 국장인 조셀린 사무엘스(Jocelyn Samuels)가 블로그를 통해 밝힌 그대로다. 이번 가이드라인에 등장하는 실천사항들로는 1) 전자 건강 정보에 대한 위협들을 분석한다 2) 사용자들이 멀웨어 탐지를 보다 잘 할 수 있도록 훈련시킨다 3) 전자 정보 및 기록에 대한 사용자 접근을 제한한다 4) 데이터 백업, 복구 실험 등 비상 대책을 마련한다 등이 있다.
하지만 일부 보안 전문가들은 “이것만 지킨다고 의료업계를 보호했다고 말할 수준이 되는지 모르겠다”는 의견을 내비치기도 했다. 엔에스포커스(NSFOCUS)의 수석 연구분석가인 스티븐 게이츠(Stephen Gates)는 “물론 랜섬웨어로부터 조직 및 업체들을 지키겠다는 목적 자체는 훌륭하다”고 하며 “하지만 결국 문제는 부주의하거나 아무런 생각 없이 하는 그 한 순간의 클릭인데, 그 어떤 가이드라인이 이를 실제적으로 막을 수 있겠는가?”라고 되물었다.
“랜섬웨어는 취약점을 익스플로잇하는 멀웨어가 아닙니다. 취약한 사람들과 그 브라우징 행위를 공략하는 페이로드죠. 솔직히 가이드라인을 아무리 발간한다 한들 이 문제가 해결될 수 있을는지 모르겠습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
