E-NEWSLETTER NO.101 January 2019

의료기기 더 이상 보안위협에서 예외는 아니다

2017년 5월 12일 대규모 사이버 공격을 통해 퍼졌던 워너크라이 랜섬웨어는 세계적으로 어마어마한 피해를 입혔다. 약 150여 개국에 20만대 이상의 PC가 감염되었고 국내 피해도 공식적으로 10여 곳 이상에서 발생하였다. 병원도 예외일 수 없어 영국의 국민건강서비스(NHS) 산하 40여 개 병원의 PC가 워너크라이에 감염되어 진료에 차질을 주었다. 당시 국내에서는 과학기술정보통신부 산하 한국인터넷진흥원에서 윈도우 보안체제 업데이트, 보안패치설치, 윈도우 7이상으로 업그레이드 등 대응방안을 공지하였고 의료기관을 포함한 각 기업들에서는 대책 마련을 위해 분주히 움직였다. 그러나 의료기관 내 의료기기의 대부분은 10년 이상 사용하며 어떤 경우에는 20년 이 상 사용하는 것이 현실이다. 윈도우 XP이하의 OS로 된 의료기기가 대부분인 것이다. 윈도우 XP는 보안패치가 중단되었고 백신프로그램은 오동작 우려로 아예 설치도 되어있지 않으며 10년 이상 된 구형 의료기기는 윈도우 7으로 업그레이드되지도 않는다. 의료기기가 보안위협에 그대로 노출되어 있었던 것이다.

의료기기 보안위협은 환자의 생명과 직결

의료기기에 대한 보안대응은 IT와는 다르게 접근하여야 한다. IT에 대한 보안위협은 개인정보탈취나 금융사고에 국한되지만 의료기기에 대한 보안위협은 환자의 생명과 직결된다는 점에서 그 심각성이 있다.
실제로 존슨앤존슨은 2016년 10월 환자 몸에 삽입해 원격으로 인슐린 주입량을 조절할 수 있는 ‘원터치 핑 시스템(One Touch Ping System)’이 해킹 공격을 받을 수 있다는 사실을 알렸다. 미국 식품의약국(FDA)는 수십만 명에게 이식된 세인트 주드 메디컬(SJM)사의 심장박동기에 보안 취약점이 있으며, 해커들이 이를 이용해 원격으로 가동을 멈추거나 환자들의 심장박동을 조작해 위험에 빠뜨릴 수 있다고 경고했다. 또한 FDA는 모든 보건의료기관에 대해 사이버 보안위험을 이유로 호스피라(Hopira)사의 심빅 약물주입펌프(Symbiq Infusion Pump) 사용 중지를 권고하기도 했으며, 이외의 의료기기에 대한 보안취약점이나 사고사례는 간단한 인터넷 검색만으로도 쉽게 찾을 수 있다.
IoT 기술로 무장한 의료기기가 인터넷에 연결되고 각종 개인 건강정보를 수집하는 헬스케어 웨어러블 기기가 갈수록 증가되고 있다. 사이버 공격도 점차 지능화되면서 의료기기는 해킹과 바이러스 위험에 고스란히 노출되고 있으나 의료기기의 보안 취약성에 대한 방어대책은 IT 기기에 비하여 10배는 뒤져있다는 것이 보안 전문가의 한결같은 평가이다.

미국∙유럽∙일본도 대응책 고민

의료기기의 보안 취약성은 국내를 넘어 미국, 유럽, 일본 등에서도 가이드라인을 만들며 고민하고 있다. FDA에서는 2014년과 2016년 두 번에 걸쳐 의료기기를 위한 사이버 보안 가이드라인을 발표하였고, IEC 80001 시리즈는 의료정보시스템과 연결되는 의료기기에 대한 유효성, 안전성, 보안과 관련된 위험관리를 다루는 표준으로 2010년에 제정되어 미국, 유럽에서는 의료기기 인증 시 필요한 위험관리 영역에서 활용하고 있기도 하다.

유럽에서는 유럽공중보건연합(EPHA)와 유럽사이버전문기구(ENISA)가 의료보안 정책수립 및 의료보안을 위한 스마트병원 가이드를 발표했으며, 일본에서는 보건의료정보시스템협회(JAHIS) 주도로 원격의료서비스 보안가이드라인을 발표했다.
국내 정보통신산업진흥원(NIPA)에서도 의료기기분야 소프트웨어의 안전성 및 유효성확보를 위한 가이드 용역개발에 나섰으며 한국인터넷진흥원(KISA)에서도 의료기기 보안 취약성 및 대응방안 개발에 나서고 있다. 작년 11월에는 식품의약품안전평가원이 ‘의료기기의 사이버 보안 허가·심사 가이드라인’을 마련했다.
그러나 이러한 대응은 의료기기가 시판되기 전 가이드라인으로 강제성이 없을 뿐만 아니라 이미 시판되어 유통되고 있는 의료기기에 대한 보안대책은 아직까지 없다.

보다 적극적인 정부차원의 의료기기 보안대책 필요

그렇다고 의료업계가 마냥 손을 놓고 있는 것은 아니다. 의료기관에서는 내부와 외부 네트워크 분리, 바이러스 확산방지 솔루션을 도입, 외부공격에 대한 내부망 보호 대응방침 등 자체 대응책을 마련하여 운영 중이며 국내 유명 의료기기 제조업체에서도 의료기기 보안기능 탑재를 위하여 연구가 진행 중이다.
그러나 의료기관 내 보안 솔루션 도입이나 특정 의료기기 제조업체의 대응만으로 현재 개인이 사용하거나 의료기관에서 운용 중인 모든 의료기기에 대한 보안위협과 취약점이 개선되는 것은 아니다. 여전히 오래된 개별 의료기기에 대한 보안은 취약한 상태이며 개인용 의료기기에 대한 보안위협도 여전히 남아있다.
보안업체에서 개별 의료기기에 대한 보안솔루션의 상용화뿐만 아니라 환자의 생명과 직결된 의료기기 보안을 위하여 보건복지부와 과학기술정보통신부를 아우를 수 있는 범정부차원의 노력과 보다 적극적인 대책마련이 병행 되어야 할 것이다.
그렇지 않으면 영국의 국민건강서비스(NHS)를 공격하여 충격을 주었던 랜섬웨어 ‘워너크라이’ 사태보다 더 심각한 피해자는 바로 우리가 될 수도 있다.

부록. 의료기기 보안 취약점 사례

※ 출처 : 정보호학회지 제25권3호, 2015, 6

참고자료

• 1. 국외 의료기기 보안위협 사례 및 보안동향 조사, 정보보호학회지 제 25권 제3호, 2015.6
• 2. Postmarket Management of Cybersecurity in Medical Device, FDA, 2014
• 3. Postmarket Management of Cybersecurity in Medical Device, FDA, 2016