이 게시글은 2017년 사이버 보안 분야에서 “확실한 예측”(맞아떨어질 것이 가능성이 높은 예측)과 “대담한 예측”(실현될 가능성이 덜한 예측)을 살펴보는 블로그 연재물의 일부입니다.
사이버 보안 분야에서 2016년은 랜섬웨어의 해였고, 특히 의료 분야가 큰 영향을 받았습니다. 이 블로그 게시글에서 저는 2017년에 의료 분야가 직면하게 될 위협의 유형에 대해 몇 가지 예측을 해보고자 합니다.
확실한 예측
1. 랜섬웨어는 계속해서 의료 분야를 목표로 삼을 것입니다.
이것은 명백한 생각입니다. 지난해에 많은 병원이 랜섬웨어의 공격을 받았습니다. 특히 캘리포니아, 인디애나, 켄터키 주의 병원들이 사용자 PC가 아닌 서버를 목표물로 삼는 랜섬웨어 변종의 공격을 심하게 받았습니다. 공격을 받은 워싱턴 주의 한 병원은 간호의 질을 적절히 유지하기 위해 환자들을 다른 시설로 옮겨야 할 지경에까지 이르렀습니다.
비트코인 결제는 익명으로 이루어지므로 공격자들은 공격 수단으로 랜섬웨어를 택했습니다. 비즈니스 모델의 관점에서도 이는 경찰에 붙잡히지 않고 돈을 벌 수 있는 효과적인 방법입니다. 그들이 의료 분야를 공격 목표로 삼은 이유는 SAMSA 랜섬웨어 변종을 위한 공격 매개체가 패치가 설치되지 않은 DMZ(인터넷과 접촉하는 네트워크 영역)내에 있는 JBOSS 애플리케이션 서버에서 아주 효과적이기 때문입니다. 이러한 서버를 다수 보유한 병원들이 침해당하는 사례가 점점 더 늘어나고 있습니다.
다행이도, 이 소식이 의료 기관에 널리 퍼져 JBOSS 취약점이 패치로 보완되거나 최소한 완화되었습니다. 그러나 절대 이러한 트렌드는 끝나지 않았습니다. 2017년 내내 랜섬웨어는 웹 기반 드라이브 바이 다운로드, 악성 이메일 첨부 파일 또는 링크, DMZ 영역의 패치가 설치되지 않은 서버와 같은 표준 공격 영역을 통해 의료 분야를 계속해서 목표물로 삼을 것입니다.
2. SaaS 앱에서 사고로 인터넷상에 너무 많은 정보를 노출하는 일이 늘어나면서 환자 데이터가 분실될 것입니다.
의료 분야 종사자들은 Box, Dropbox, 구글 드라이브와 같은 클라우드 파일 공유 SaaS 앱 사용을 선호하는데, 그 이유는 이러한 앱들이 여러 의료 기관 사이의 간격을 메워주기 때문입니다. 즉 파일 공유가 쉽다는 것입니다. 이러한 서비스의 공용 버전이 지닌 문제점은 사용자가 파일에 대한 액세스 권한을 통제할 수 있다는 것 그리고 개인 건강 정보(PHI)가 포함된 파일을 실수로 전체 인터넷 대중과 공유하도록 구성하는 일이 쉽게 발생할 수 있다는 것입니다. 예를 들어, Box의 엔터프라이즈 버전은 관리자가 공용 액세스를 제한하도록 할 수 있지만, 많은 의료 기관에서는 이 무료 버전을 차단하지 않고 있습니다.
저는 올해 초에 이러한 위험을 완화하기 위한 몇 가지 권고 사항과 더불어, SaaS 보안을 주제로 블로그 게시물을 작성하였습니다. 의료 기관들이 기관 내부 및 외부에 파일 공유를 위해 허가된 방법을 제공하고, 허가되지 않은 파일 공유 웹 사이트를 적극적으로 차단할 때까지는 사고에 의한 과다 정보 노출로 환자 데이터가 분실되는 일이 계속해서 발생할 것입니다.
대담한 예측
1. 의료 기기에 대한 사이버 공격이 환자에게 상해를 입히는 일이 최초로 확인될 것입니다.
오늘날 의료 시설에서 사용되는 다수의 의료 기기에는 기본적인 보안 조치가 결여되어 있습니다. 의료 기기에 엔드포인트 보호 조치가 되어 있지 않고, Windows XP와 같은 철 지난 운영 체제에 적용되는 정기적인 패치 추가 작업이 이루어지지 않는 경우가 흔합니다. 이러한 이유로 의료 기기는 멀웨어 및 사이버 공격의 표적이 됩니다.
특정 의료 기기를 병원에서 철수하라는 확정적인 FDA 명령은 지금까지 단 한 건뿐이었습니다. 한 건밖에 없었던 이유는 이 문제에 대한 연구나 인식이 부족했기 때문입니다. 의료 기기가 고가인데다가 의료 기기의 취약성을 찾아 교정하는 데 필요한 보안 연구를 실행할 재정적 인센티브가 없기 때문에, 그다지 많은 연구가 이루어지지 않았습니다.
돈에 의해 움직이는 공격자들은 빠른 결제와 익명성으로 인해 랜섬웨어를 사용했습니다. 하지만 “능력이 되기 때문에 했다”는 부류의 자기 과시형 공격자들도 있습니다. 이들은 재미 삼아 해킹을 합니다. 현재까지는 의료 기기에 대한 사이버 공격으로 인해 환자가 물리적인 피해를 입은 경우는 아직 확인되지 않았지만, 악한 공격자가 병원 네트워크의 가장 취약한 영역인 의료 기기를 이용하여 공격하고 자기가 했음을 밝히고자 하는 건 시간 문제일 뿐입니다.
의료 산업 관련 사이버 보안의 미래를 어떻게 예측하십니까? 댓글을 통해 여러분의 생각을 공유하고 금융 서비스에 대한 예측을 공유할 다음 게시글도 기대해 주시기 바랍니다.
이 글이 원래 게시된 곳은 HealthDataManagement.com입니다.