의료 서비스 IoT 도입으로 인한새로운 보안 기회
연결형 의료용 디바이스, 일명 의료 사물 인터넷(Internet of Medical Things, IoMT)은 운영 면에서뿐만 아니라 환자 관리 면에서도 의료 서비스에 일대 혁명을 일으키고 있습니다. 연결형 의료용 디바이스는 세계 각지의 병원이나 의료 서비스 현장에서 중요한 환자 치료 서비스지원 및 의료용 주입 펌프, 외과수술용 로봇, 활력징후 모니터, 앰뷸런스 장비 등 광범위한 임상기능을 제공합니다. 이 분야에서 결국 중요한 것은 환자의 예후로 나타나는 성과이자, 치료 제공방식을 어떻게 개선할 것입니다. 따라서 의료 서비스계에 이와 같이 IoT가 도입되면 건실한 운영면은 물론이고 사람의 인생을 바꿔놓는 기회도 생깁니다.
다만, IoT 기술을 통해 훌륭한 성과를 이룩하는 과정에서 병원이나 환자가 이와 관련한 보안 리스크에 노출되기도하는데, 이런 리스크는 뉴스에서 자주 접할 수 있습니다. 일례로 랜섬웨어는 전 세계 의료 서비스 제공자를 대상으로특히 만연한 위협입니다. 지난 2022년 8월, 프랑스의 병원 Centre Hospitalier Sud Francilien(CHSF)이 랜섬웨어 공격에 당해 의료 영상과 환자 입원 시스템을 사용할 수 없게 되었습니다. 또한 2022년 10월에는 CISA가 발표한 권고문 에서는 네트워크 내 데이터베이스, 이미징 및 진단 시스템에 액세스하여 특정 이익을 노리며의료 및 공중 보건 부문을 표적으로 하는 랜섬웨어 및 데이터 갈취 그룹에 대해 의료 서비스 제공자들에게 경고한 바있습니다. 하지만 랜섬웨어 외에도 다른 리스크가 있습니다. HIPAA 학회지에 기재된 어느 보고서에 따르면 2022년 한해 동안 의료 서비스 업계에 각종 사이버공격이 무려 60%나 증가한 것으로 드러났습니다.1 안타깝게도 업계에서 치료서비스를 제공하는 과정에서 사이버 공격이 일상적으로 발생하여, 반드시 대응할 준비를 갖춰야만 하게 되었습니다.
의료용 IoT 디바이스가 리스크에 노출된 이유
의료용 IoT 디바이스가 리스크에 노출된 데는 여러 가지 이유가 있습니다. 가장 보편적인 이유로는 이런 디바이스는대체로 보안을 염두에 두고 설계한 것이 아니라는 점을 들 수 있겠습니다.
대부분의 연결형 디바이스는 내재적인 취약점을 포함한 채 출고됩니다. 예를 들어, Unit 42® 연구에 따르면 주입펌프 중 전체의 75%는 패치되지 않은 취약점이 포함되어 있습니다.2 엑스레이 장비 또한 전체의 절반 이상(51%)에심각도가 높은 CVE(CVE-2019-11687)가 있고, 지원되지 않는 Windows 버전으로 실행되는 장비도 약 20%나됩니다.3
Unit 42 연구 결과 초음파, MRI, CT 스캐너 중 전체의 83%는 수명이 종료된 운영 체제로 가동한다는 사실도드러났습니다.4 이렇게 잘 알려진 취약점이 있는 운영 체제는 익스플로잇될 가능성이 있습니다. 공격자는 취약한디바이스를 노려 침투해 내부망 이동을 통해 조직 내 네트워크를 이동하여 병원 네트워크 나머지 부분을 감염시키고훼손한다고 알려져 있습니다.
의료용 IoT 디바이스의 취약점은 여파가 중대하고, 생명을 위협할 가능성이 있습니다. 이런 디바이스 중에는업데이트나 패치가 쉽지 않거나 심지어 불가능한 것도 있습니다. 업데이트나 패치를 적용하려면 치료 제공을 중단해야하기도 하고, 많은 유형의 디바이스는 컴퓨팅 용량이 부족하기 때문입니다. 그 결과 환자 데이터가 노출되게 됩니다. 심지어는 병원 가동이 중단되기도 합니다. 이처럼 공격 가능성이 만연하기는 하지만, 의료 서비스 제공자가 선제적으로절차를 밟으면 디바이스 관련 보안 리스크를 대부분 최소화할 수 있기도 합니다.
의료용 IoT Security 강화를 위한 4가지 필수 단계
의료 시설과 의료 서비스 제공자의 문제점 중 하나는 실제로 네트워크상에 존재하는 연결형 디바이스를 전부 인식해야한다는 것입니다. 단, 의료용 디바이스 보안을 개선하려면 가시성만 확보해서는 부족합니다. 사실 디바이스 보안을확보하고 리스크를 줄이기 위한 단계를 크게 4가지로 짚어볼 수 있습니다.
- 의료 및 운영용 연결형 디바이스 전체의 가시성을 확보하고 리스크 평가 실시. 의료 서비스계 IoT 보안을 위한 첫걸음은 무엇이 어디 있는지 파악하는 것입니다. 보이지 않는 것을 보호할 수는 없습니다. 디바이스 가시성만으로는충분하지 않습니다. 디바이스와 디바이스에 포함되어 점차 진화하는 취약점이 네트워크에 미치는 리스크를지속적으로 평가할 수 있어야 합니다.
- 컨텍스트를 고려한 네트워크 세그먼테이션과 최소 권한 액세스 제어 적용. 디바이스를 파악하는 건 유용합니다. 더 유용하게 활용하려면, 그 디바이스로 액세스할 수 있는 네트워크 리소스나 정보가 무엇인지 알아두는 게좋습니다. 이 부분에서 네트워크 세그먼테이션이 중요한 역할을 합니다. 디바이스가 원래 용도에 꼭 필요한리소스에만 액세스하고 나머지에는 접근할 수 없도록 제한하는 정책을 만들어 적용하는 것입니다.
- 디바이스 동작을 계속 모니터링해 알려진 위협과 알려지지 않은 위협 차단. 이러한 디바이스는 임상 환경 전체는물론이고 외부 네트워크 및 서비스와 통신을 주고받으므로 기본 동작을 정립하고 비정상 동작이 나타나는지디바이스를 모니터링하며 멀웨어와 같은 위협에 맞서 네트워크에 연결된 디바이스를 보호해야 합니다.
- 운영 간소화. 의료 서비스 네트워크상에 존재하는 대량의 디바이스를 효과적으로 관리하고 보안을 확보하려면제공자 측에 기존 IT 및 보안 솔루션과 통합되는 솔루션이 필요합니다. 이를 통해 네트워크 사각지대를없애고 워크플로를 자동화하며 네트워크 관리자에게 부과되는 번거로운 수동 프로세스의 부담을 줄이는것이 관건입니다.
IoT Security를 강화하여 규제 준수 지원
당연한 말이지만, 의료 서비스 업계에는 지켜야 할 규정 준수 요건이 많습니다. 의료 서비스 규정 준수는 환자 관리, 관리형 치료 계약, 직업 안전 및 보건(OSHA), 건강 보험 이동성과 결과 보고 책무 활동(HIPAA), 개인정보와 보안 등이외에도 무수히 많은 분야를 아우릅니다. 환자 시스템이나 의료용 IoT 디바이스를 노리는 공격은 사실상 모두 규정준수 침해일 가능성이 크고, 공격 결과 중요한 데이터가 손실되거나 승인받지 않은 주체가 중요한 데이터에 액세스하게될 수 있습니다. IoMT 가시성이나 리스크 평가가 잘 되지 않으면 규제, 감사, HIPAA 요건에 부합하기 어렵습니다. 모든 디바이스와 각각의 활용률 데이터에 대한 완벽한 가시성을 확보하면 규정 준수 감사에 대비하고 규정 준수보고서를 취합하는 부담을 덜 수 있습니다.
의료용 IoT에 제로 트러스트 구현
사람은 건강 상태를 개선하고 유지하기 위해 전문 의료진에게 몸을 믿고 맡깁니다. 마찬가지로 의료 시설은 기술에의존합니다. 그러나 신뢰를 기본적으로 주어서는 안 됩니다. 신뢰는 끊임없이 모니터링되고 검증되어야 합니다. 바로이런 면에서 제로 트러스트 접근 방식이 등장합니다.
제로 트러스트는 아주 단도직입적인 말로 표현하자면, 주어진 조직의 네트워크에 액세스하는 모든 사용자, 애플리케이션이나 디바이스에 대한 암묵적인 신뢰를 배제하는 사이버 보안 전략입니다. 제로 트러스트는 제품이아닙니다. 많은 고객에게 제로 트러스트는 하나의 과정입니다. 의료용 IoT Security의 경우, 제로 트러스트는 몇 가지중대한 항목을 파악하는 것부터 시작합니다.
디바이스 사용자는 누구인가?
무슨 디바이스인가?
디바이스의 원래 용도는 무엇인가?
디바이스가 원래 제작된 목적을 수행하고 있는가?
제로 트러스트는 끊임없이 디바이스와 그 동작을 모니터링하여 위협, 멀웨어, 정책 위반이 있는지 확인해 모든상호작용을 검증함으로써 리스크를 완화하도록 돕습니다.
최소 저항을 추구하는 제로 트러스트를 채택해 의료 서비스 IoT 개선
의료 서비스 IT와 보안팀은 과중한 부담에 시달리고 있으므로, 보안 구현이 지나치게 부담스러워서는 안 됩니다. 의료용 IoT 디바이스 보안 상태를 개선하겠다고 병원 네트워크를 많은 비용을 들여 대폭 업그레이드해서도 안 됩니다.
대부분의 의료 서비스 제공자는 이미 제로 트러스트 디바이스 보안의 적용 지점이 되어줄 네트워크 방화벽을 보유하고있습니다. 제로 트러스트를 향한 여정을 진행하면서 가시성, 리스크 평가, 세그먼테이션, 최소 권한 정책, threat prevention 등을 지원하려면 최대한 현재 업무에 차질이 덜 가는 방식을 취해야 합니다. 머신 러닝(ML) 또한 정책구성 속도를 대폭 높일 수 있으며, 정책 구성을 자동화할 수도 있습니다. 보안이 사람의 노력을 많이 필요로 하는 대형프로젝트가 되는 순간, 성공할 확률은 떨어지게 됩니다. 보안은 통합형이어야 하고, 구축이 간편해야 하며, 최대한자동화되어야 합니다.
의료용 IoT 디바이스는 매일의 의료 서비스를 개선하는 데 일조하고 있습니다. 사람이 건강을 유지하려면 옳은 선택을해야 하는 것과 마찬가지로, 의료용 IoT 디바이스도 양호한 상태를 유지하려면 옳은 선택이 필수적입니다. 말 그대로, 생명을 좌우하는 일이기 때문입니다.
추천 자료:
1. "의료 서비스 부문, 사이버공격 연간 60% 증가" HIPAA 학회지, 2022년 11월 17일
https://www.hipaajournal.com/healthcare-sees-60-yoy-increase-in-cyberattacks/.
2. Aveek Das, "주입 펌프 취약점을 알아야 의료 서비스 조직 보안 확보 가능" Unit 42, 2022년 3월 2일,
https://unit42.paloaltonetworks.com/infusion-pump-vulnerabilities/.
3. Jun Du, Derick Liang, Aveek Das, "Windows XP, Server 2003 소스코드 유출로 IoT, OT 디바이스 취약점 노출" Unit 42, 2020년 11월 6일,
https://unit42.paloaltonetworks.com/windows-xp-server-2003-source-code-leak/.
4. 출처 동일