의료기관: 병원내부망, 게이트웨이, 시스템, 의료기기 등 여러 구간에 보안 위협 산재
VPN 활성화, 접근통제, 보안 교육, 보안적용된 의료기기 등 다각도로 보안 강화해야
[보안뉴스 김경애 기자] 대한민국 의료정보가 위험하다. 수집, 저장, 이용 과정에서 여러 취약 요소가 산재돼 있기 때문이다. 하지만 국내 상당수의 병원 및 의료기관은 이러한 위험에 대해 인식하지 못한 것으로 보인다.
[자료=건국대학교 한근희 교수]
의료기기 사용목적에 따라 분류돼야
현재 병원 등 의료기관에서는 대량의 복합적인 의료기기를 사용하고 있다. 병상 당 평균 10~15개의 의료기기가 연결돼 있으며, 500개 병상의 경우 7,500개 이상의 의료기기가 연결돼 있다. 이에 따라 의료현장에 적합한 분류체계가 필요하다는 지적이다.
이와 관련 건국대학교 정보통신대학원 한근희 정보보안학과장은 ‘제6회 스마트의료 정보보호 컨퍼런스 2018’에서 의료기기를 사용목적에 따라 인공호흡기, 심장충격기 등 △생명유지, 수술내시경과 로봇 수술기 등 △수술, 선형가속기 등 △치료 및 처치용, Patient 모니터 등 △환자감시, 엑스레이와 초음파 등 △생체신호 측정과 분석 및 진단, 혈당측정기 등 △생체정보 간접 측정 및 분석, CAD 등 △컴퓨터기반 소프트웨어, 자동 약 포장기 등 △기타 진료보조 총 8가지 분류를 제시했다. 특히 한 교수는 관리가 용이하고 의료현장에 적합한 분류체계의 수립과 안전과 보안에 대한 인식이 고취돼야 한다고 지적했다.
일반적으로 의료기기는 센서를 통해 생체를 측정한다. 측정된 데이터는 아날로그 신호처리를 거친 후 다시 디지털로 변환하기 위해 디지털 신호처리를 거친다. 그 다음 유저 인터페이스(User Interface)를 통해 생체정보가 저장 및 전송 되거나 디스플레이로 구현된다.
[자료=건국대학교 한근희 교수]
의료기관, 내·외부 곳곳 ‘보안위협’
그런데 의료기관 네트워크(병원 내부망)는 와이파이, 블루투스, NFC가 연결돼 있고, 원격의료기기 역시 LAN, 와이파이, 블루투스, CDMA 등과 연결되어 보안에 취약하다. PC(게이트웨이)는 검사결과 공유뿐만 아니라 스마트폰과 태블릿PC 등 여러 기기도 연결되어 있어 위험에 노출돼 있다. 게다가 이 의료기기를 취급하는 사람은 구매자, 의공담당자, IT 담당자, 의사, 간호사, 의료기사, 폐기 담당자 등 방대하기 때문에 데이터 유출과 악성코드 감염 위험에 노출돼 있다.
이와 관련 한근희 교수는 “호스피스 관련 종사자의 경우 목사님, 스님 등 다양한 직업 직군들이 포함돼 있으며, 쉽게 의료정보에 접근할 수 있다. 보안이 인지되지 않은 여러 사람이 접근하게 되면 정보유출을 비롯해 의료기기 오작동 등 위험하다”고 지적했다.
[자료=건국대학교 한근희 교수]
그러면서 한근희 교수는 “인터넷과 네트워크 구간에는 데이터유출, 데이터 조작, 시스템 마비, 비인가 접근 등의 위험이, 네트워크에서 게이트웨이 구간에는 데이터 유출, 중간자 공격, 메시지 주입, 웹 인터페이스 취약점, 프로토콜 변환 취약점, 시스템 마비, 악성코드 감염 등의 문제가 있다”며 “게이트웨이와 의료기기 구간에는 부채널 공격, 악성코드 감염, 기기조작, 오작동 및 기기 마비, 센서 스푸핑, 데이터 유출 등의 위험이 존재한다”고 밝혔다.
시스템, 네트워크, 의료기기, 의료진 등 보안 강화해야
이에 따라 병원내 시스템과 네트워크, 의료기기, 의료진 등의 보안 교육 등 보안을 강화해야 한다는 게 그의 설명이다.
먼저 시스템은 △하드닝과 공급망 사슬 관리 △소프트웨어 안전성 및 보안성 △사용자 인증 및 기기 인증 동작 △접근통제 △패스워드 △자동로그오프 △암호화 △비인가 소프트웨어 설치 금지 △로깅 및 로그 데이터 보호 △백업 등 보안을 강화해야 한다고 제시했다.
네트워크 단에서는 △VPN 활성화 △구현 용이한 방식으로 망분리 기능 적용 △무선 네트워크 802.1x 인증 △와이파이는 의료정보시스템에서 송수신되는 데이터가 유,노출되지 않도록 WPA2이상의 안전한 프로토콜을 설정해야 한다고 설명했다. 또한 △블루투스, NFC, etc 등은 사용하지 않을 경우 동작을 차단하고, 불필요한 네트워크 기능 사용 제한해야 한다고 강조했다.
공개 △네트워크 사용시에는 관리 감독, 작업 허용 일시를 지정해 접속 승인, 자료 반출입 내용 확인, 보안서약서를 징구해야 한다. △기기에 장착된 네트워크 모듈 점검 △유무선, 이동통신 등 사용 혹은 활성화 여부 파악 등 기기 네트워크 사용 여부를 확인해야 한다. 또한 △의료기관 이해당사자들이 사용하는 네트워크 접속 기기는 접근통제해야 한다.
[자료=건국대학교 한근희 교수]
게이트웨이는 △보안 패치는 항상 최신으로 유지 △백신 설치 △관리자 USB와 외부 저장장치만 연결 허용 △사용자 계정 관리 △방화벽 설정 △자동 업데이트 △로그 감사 △공유 폴터 △불필요한 서비스 △원격 관리 소프트웨어 △운영체제 레벨 접근 △운영 체제 라이센스 △UAC설정 등에 신경써야 한다.
의료기기는 △구매시 공급망 사슬 관리 △오작동 가능성 점검 △실수 혹은 고의적인 동작 여부 △기기 소프트웨어 설치 작업 등 관리 △의료기기 사용시 접근 통제 기능 활성화 △로그 보관 및 로깅 △허용되지 않은 기기 접속 가능 여부 확인 △초기 비밀번호 변경 및 주기적 점검 등이 이뤄져야 한다.
마지막 인적보안에 대해 한근희 교수는 “보안 및 개인정보보호 관련 교육 훈련을 통해 보안 인식을 강화하고 USB 등 이동매체 사용 시 승인여부와 불법 사용을 금지해야 한다. 또한 패스워드 공유를 금지하고, 보안서약서를 징구해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
VPN 활성화, 접근통제, 보안 교육, 보안적용된 의료기기 등 다각도로 보안 강화해야
[보안뉴스 김경애 기자] 대한민국 의료정보가 위험하다. 수집, 저장, 이용 과정에서 여러 취약 요소가 산재돼 있기 때문이다. 하지만 국내 상당수의 병원 및 의료기관은 이러한 위험에 대해 인식하지 못한 것으로 보인다.
[자료=건국대학교 한근희 교수]
의료기기 사용목적에 따라 분류돼야
현재 병원 등 의료기관에서는 대량의 복합적인 의료기기를 사용하고 있다. 병상 당 평균 10~15개의 의료기기가 연결돼 있으며, 500개 병상의 경우 7,500개 이상의 의료기기가 연결돼 있다. 이에 따라 의료현장에 적합한 분류체계가 필요하다는 지적이다.
이와 관련 건국대학교 정보통신대학원 한근희 정보보안학과장은 ‘제6회 스마트의료 정보보호 컨퍼런스 2018’에서 의료기기를 사용목적에 따라 인공호흡기, 심장충격기 등 △생명유지, 수술내시경과 로봇 수술기 등 △수술, 선형가속기 등 △치료 및 처치용, Patient 모니터 등 △환자감시, 엑스레이와 초음파 등 △생체신호 측정과 분석 및 진단, 혈당측정기 등 △생체정보 간접 측정 및 분석, CAD 등 △컴퓨터기반 소프트웨어, 자동 약 포장기 등 △기타 진료보조 총 8가지 분류를 제시했다. 특히 한 교수는 관리가 용이하고 의료현장에 적합한 분류체계의 수립과 안전과 보안에 대한 인식이 고취돼야 한다고 지적했다.
일반적으로 의료기기는 센서를 통해 생체를 측정한다. 측정된 데이터는 아날로그 신호처리를 거친 후 다시 디지털로 변환하기 위해 디지털 신호처리를 거친다. 그 다음 유저 인터페이스(User Interface)를 통해 생체정보가 저장 및 전송 되거나 디스플레이로 구현된다.
[자료=건국대학교 한근희 교수]
의료기관, 내·외부 곳곳 ‘보안위협’
그런데 의료기관 네트워크(병원 내부망)는 와이파이, 블루투스, NFC가 연결돼 있고, 원격의료기기 역시 LAN, 와이파이, 블루투스, CDMA 등과 연결되어 보안에 취약하다. PC(게이트웨이)는 검사결과 공유뿐만 아니라 스마트폰과 태블릿PC 등 여러 기기도 연결되어 있어 위험에 노출돼 있다. 게다가 이 의료기기를 취급하는 사람은 구매자, 의공담당자, IT 담당자, 의사, 간호사, 의료기사, 폐기 담당자 등 방대하기 때문에 데이터 유출과 악성코드 감염 위험에 노출돼 있다.
이와 관련 한근희 교수는 “호스피스 관련 종사자의 경우 목사님, 스님 등 다양한 직업 직군들이 포함돼 있으며, 쉽게 의료정보에 접근할 수 있다. 보안이 인지되지 않은 여러 사람이 접근하게 되면 정보유출을 비롯해 의료기기 오작동 등 위험하다”고 지적했다.
[자료=건국대학교 한근희 교수]
그러면서 한근희 교수는 “인터넷과 네트워크 구간에는 데이터유출, 데이터 조작, 시스템 마비, 비인가 접근 등의 위험이, 네트워크에서 게이트웨이 구간에는 데이터 유출, 중간자 공격, 메시지 주입, 웹 인터페이스 취약점, 프로토콜 변환 취약점, 시스템 마비, 악성코드 감염 등의 문제가 있다”며 “게이트웨이와 의료기기 구간에는 부채널 공격, 악성코드 감염, 기기조작, 오작동 및 기기 마비, 센서 스푸핑, 데이터 유출 등의 위험이 존재한다”고 밝혔다.
시스템, 네트워크, 의료기기, 의료진 등 보안 강화해야
이에 따라 병원내 시스템과 네트워크, 의료기기, 의료진 등의 보안 교육 등 보안을 강화해야 한다는 게 그의 설명이다.
먼저 시스템은 △하드닝과 공급망 사슬 관리 △소프트웨어 안전성 및 보안성 △사용자 인증 및 기기 인증 동작 △접근통제 △패스워드 △자동로그오프 △암호화 △비인가 소프트웨어 설치 금지 △로깅 및 로그 데이터 보호 △백업 등 보안을 강화해야 한다고 제시했다.
네트워크 단에서는 △VPN 활성화 △구현 용이한 방식으로 망분리 기능 적용 △무선 네트워크 802.1x 인증 △와이파이는 의료정보시스템에서 송수신되는 데이터가 유,노출되지 않도록 WPA2이상의 안전한 프로토콜을 설정해야 한다고 설명했다. 또한 △블루투스, NFC, etc 등은 사용하지 않을 경우 동작을 차단하고, 불필요한 네트워크 기능 사용 제한해야 한다고 강조했다.
공개 △네트워크 사용시에는 관리 감독, 작업 허용 일시를 지정해 접속 승인, 자료 반출입 내용 확인, 보안서약서를 징구해야 한다. △기기에 장착된 네트워크 모듈 점검 △유무선, 이동통신 등 사용 혹은 활성화 여부 파악 등 기기 네트워크 사용 여부를 확인해야 한다. 또한 △의료기관 이해당사자들이 사용하는 네트워크 접속 기기는 접근통제해야 한다.
[자료=건국대학교 한근희 교수]
게이트웨이는 △보안 패치는 항상 최신으로 유지 △백신 설치 △관리자 USB와 외부 저장장치만 연결 허용 △사용자 계정 관리 △방화벽 설정 △자동 업데이트 △로그 감사 △공유 폴터 △불필요한 서비스 △원격 관리 소프트웨어 △운영체제 레벨 접근 △운영 체제 라이센스 △UAC설정 등에 신경써야 한다.
의료기기는 △구매시 공급망 사슬 관리 △오작동 가능성 점검 △실수 혹은 고의적인 동작 여부 △기기 소프트웨어 설치 작업 등 관리 △의료기기 사용시 접근 통제 기능 활성화 △로그 보관 및 로깅 △허용되지 않은 기기 접속 가능 여부 확인 △초기 비밀번호 변경 및 주기적 점검 등이 이뤄져야 한다.
마지막 인적보안에 대해 한근희 교수는 “보안 및 개인정보보호 관련 교육 훈련을 통해 보안 인식을 강화하고 USB 등 이동매체 사용 시 승인여부와 불법 사용을 금지해야 한다. 또한 패스워드 공유를 금지하고, 보안서약서를 징구해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
