의료 산업의 안전 위해 사이버 보안 향상 집중할 계획
업데이트와 패치 기능을 설계 단계에서부터 넣도록 해
[보안뉴스 문가용 기자] 미국 식약청이 의료 기기의 안전 문제에 대한 새로운 계획을 발표했다. 식약청은 앞으로 의료 산업의 사이버 보안을 향상시키기 위해 추가 기금을 마련하는 한편 새로운 전담 기관을 설립한다는 내용이다.
[이미지 = iclickart]
식약청이 집중하고자 하는 분야는 크게 다섯 가지로 나뉜다. 사이버 보안은 그 다섯 가지 중 하나다. 최근 각종 의학 장비들과 서비스들, 병원들에서 사이버 위협들이 사라지지 않고 나타나자 식약청이 손을 걷어붙인 것. 그래서 제일 먼저는 의료 장비 생산자들이 제품을 설계할 때부터 이후의 업데이트와 패치를 고려하는 것이 필수가 되도록 움직이고 있다.
또한 기기 생산자들이 소프트웨어 물자표(Software Bill of Materials)라는 것도 만들도록 함으로써 의료 장비를 사용하는 고객들이나 최종 사용자들이 어떤 시스템이 취약할 수 있는지 미리 알아보고 판단할 수 있도록 할 계획이라고 한다.
“현재 의료 산업 분야가 직면한 문제들과 도전 과제들이 분명합니다. 그래서 식약청은 이를 직접 다뤄 해결코자 합니다. 특히 워너크라이(WannaCry) 등과 같은 사이버 위협들이 환자들의 생명을 위협하지 못하도록 하기 위해 장비를 보강하는 노력 등을 할 텐데, 이때 정부 당국의 힘을 빌리는 것이 저희의 목표입니다.” 식약청 대변인의 말이다.
식약청의 계획대로라면 시장에 새로이 들어서는 제품들은 전부 패치와 업데이트 가능성을 반드시 포함하고 있어야 하며, 이를 출시 전에 증명해낼 수 있어야 한다. 특히 이는 설계 단계에서부터 들어있어야 할 요소로, 패치 관리 프로세스와 세부 계획서를 평가 기관 등에 제출할 수 있어야 한다. 식약청은 이러한 제도 마련을 위해 힘쓰겠다는 입장이다.
‘소프트웨어 물자표’란 최근 의료 산업 사이버 보안 태스크 포스(Health Care Industry Cybersecurity Task Force) 팀에서 제안한 것으로, 의료 장비가 어떤 요소로 구성되어 있으며 해당 요소들에는 어떠한 위험들이 있을 수 있는지 상세하게 설명한 일종의 표를 말한다. 사용자들이 이를 보고 특정 위협이나 취약점에 대한 대비를 할 수 있게 하는 데에 사용될 수 있다.
이와 더불어 식약청은 의료 기기의 사이버 보안 문제를 향상시키기 위해 기기들의 사전시판 지침 또한 발간하도록 만들 계획이다. 치명적인 위험까지는 다 막지 못하더라도, 일반적이거나 중간 위험군 정도에 속하는 사이버 위협은 제대로 막을 수 있게 하기 위함이다. 특히 환자의 시술이나 진료에 일시적으로라도 방해가 될 문제를 최대한 없애겠다는 방침이다.
또한 의료 장비를 생산하는 업체라면 취약점 발견 및 보고, 해결에 관한 정책과 산업 내 표준을 반드시 도입하도록 만들 예정이기도 하다.
마지막으로 식약청은 사이버 의료 안전 분석 위원회(CyberMed Safety Analysis Board, CYMCAB)를 창설하기 위한 준비를 시작할 계획이라고 밝혔다. “민관 협력 기관으로 현존하는 기기들의 취약점을 다루고 동시에 새로운 기기들 및 공격 발생 시 빠른 대응을 하기 위한 단체가 될 예정입니다.” 물론 저 이름이 100% 그대로 갈지는 미지수다.
CYMSAB이 창설되고 나서는 주로 장비들의 취약점 평가 및 보고를 돕고, 위험도 및 완화 방법을 검토하며, 법적인 분쟁을 중재할 것이라고 한다. 또한 생산자나 식약청의 요청에 따라 침해된 장비를 수사 및 분석하는 것도 담당할 것이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
업데이트와 패치 기능을 설계 단계에서부터 넣도록 해
[보안뉴스 문가용 기자] 미국 식약청이 의료 기기의 안전 문제에 대한 새로운 계획을 발표했다. 식약청은 앞으로 의료 산업의 사이버 보안을 향상시키기 위해 추가 기금을 마련하는 한편 새로운 전담 기관을 설립한다는 내용이다.
[이미지 = iclickart]
식약청이 집중하고자 하는 분야는 크게 다섯 가지로 나뉜다. 사이버 보안은 그 다섯 가지 중 하나다. 최근 각종 의학 장비들과 서비스들, 병원들에서 사이버 위협들이 사라지지 않고 나타나자 식약청이 손을 걷어붙인 것. 그래서 제일 먼저는 의료 장비 생산자들이 제품을 설계할 때부터 이후의 업데이트와 패치를 고려하는 것이 필수가 되도록 움직이고 있다.
또한 기기 생산자들이 소프트웨어 물자표(Software Bill of Materials)라는 것도 만들도록 함으로써 의료 장비를 사용하는 고객들이나 최종 사용자들이 어떤 시스템이 취약할 수 있는지 미리 알아보고 판단할 수 있도록 할 계획이라고 한다.
“현재 의료 산업 분야가 직면한 문제들과 도전 과제들이 분명합니다. 그래서 식약청은 이를 직접 다뤄 해결코자 합니다. 특히 워너크라이(WannaCry) 등과 같은 사이버 위협들이 환자들의 생명을 위협하지 못하도록 하기 위해 장비를 보강하는 노력 등을 할 텐데, 이때 정부 당국의 힘을 빌리는 것이 저희의 목표입니다.” 식약청 대변인의 말이다.
식약청의 계획대로라면 시장에 새로이 들어서는 제품들은 전부 패치와 업데이트 가능성을 반드시 포함하고 있어야 하며, 이를 출시 전에 증명해낼 수 있어야 한다. 특히 이는 설계 단계에서부터 들어있어야 할 요소로, 패치 관리 프로세스와 세부 계획서를 평가 기관 등에 제출할 수 있어야 한다. 식약청은 이러한 제도 마련을 위해 힘쓰겠다는 입장이다.
‘소프트웨어 물자표’란 최근 의료 산업 사이버 보안 태스크 포스(Health Care Industry Cybersecurity Task Force) 팀에서 제안한 것으로, 의료 장비가 어떤 요소로 구성되어 있으며 해당 요소들에는 어떠한 위험들이 있을 수 있는지 상세하게 설명한 일종의 표를 말한다. 사용자들이 이를 보고 특정 위협이나 취약점에 대한 대비를 할 수 있게 하는 데에 사용될 수 있다.
이와 더불어 식약청은 의료 기기의 사이버 보안 문제를 향상시키기 위해 기기들의 사전시판 지침 또한 발간하도록 만들 계획이다. 치명적인 위험까지는 다 막지 못하더라도, 일반적이거나 중간 위험군 정도에 속하는 사이버 위협은 제대로 막을 수 있게 하기 위함이다. 특히 환자의 시술이나 진료에 일시적으로라도 방해가 될 문제를 최대한 없애겠다는 방침이다.
또한 의료 장비를 생산하는 업체라면 취약점 발견 및 보고, 해결에 관한 정책과 산업 내 표준을 반드시 도입하도록 만들 예정이기도 하다.
마지막으로 식약청은 사이버 의료 안전 분석 위원회(CyberMed Safety Analysis Board, CYMCAB)를 창설하기 위한 준비를 시작할 계획이라고 밝혔다. “민관 협력 기관으로 현존하는 기기들의 취약점을 다루고 동시에 새로운 기기들 및 공격 발생 시 빠른 대응을 하기 위한 단체가 될 예정입니다.” 물론 저 이름이 100% 그대로 갈지는 미지수다.
CYMSAB이 창설되고 나서는 주로 장비들의 취약점 평가 및 보고를 돕고, 위험도 및 완화 방법을 검토하며, 법적인 분쟁을 중재할 것이라고 한다. 또한 생산자나 식약청의 요청에 따라 침해된 장비를 수사 및 분석하는 것도 담당할 것이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
