• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[단독] 병원내 처방전달시스템, 보안 ‘무풍지대’ 2013.05.10

창원 모 대형병원 OCS에서 보안취약점 발견...다른 병원도 위험! 

OCS 서버와 웹서버 연동할 경우 문제 커져...OCS 내부망되어야  

SHABAGE HUNTERS 최부근·양서희 씨 발견...해당병원에 리포트   


[보안뉴스 권 준] 병원에서 취급하는 환자들의 개인정보는 각종 진료기록과 병력 등이 포함돼 있는 민감 정보이므로 병원 측은 환자정보에 대한 보다 철저한 보안체계 마련이 선행되어야 한다. 그러나 최근 대형병원의 처방전달시스템(OCS)에서 심각한 보안취약점이 발견되는 등 의료 분야의 개인정보에 대한 우려의 목소리가 커지고 있다.   


대형 병원에서 보편화되고 있는 처방전달시스템 OCS(Order Communication System)는 의사가 환자를 진단한 후, 처방전을 병원 내부통신망을 통해 각 해당 진료부서까지 전달해주는 시스템을 말한다.


각종 의학정보 및 환자들의 진찰자료 DB가 구축돼 있는 OCS는 환자의 등록에서 진료, 수납까지 원내의 모든 정보를 관리·전달하는 것은 물론 병원의 모든 행정을 효율적으로 관리할 수 있도록 하는 통합의료 정보시스템의 핵심이라고 할 수 있다. 


병원 측은 처방전달시스템(OCS) 도입으로 대기시간 단축 등을 통한 대국민 서비스를 개선할 수 있고, 진료생산성을 향상시켜 수익 증가와 경영효율화를 꾀할 수 있는 장점이 있다.


이러한 가운데 창원에 위치한 한 대형병원의 OCS에 심각한 보안취약점이 발견돼 병원 통합의료 정보시스템 전반의 보안문제로 커질 수 있다는 우려가 제기되고 있다.


이 문제의 심각성을 본지에 알려온 SHABG HUNTERS 연구소의 최부근(ForbiddenBITS) 군과 양서희(순천향대) 씨는 “내부망인 OCS가 허술하게 구축될 경우 중요 파일의 소스코드 다운로드가 가능하고, SQL 인젝션 공격과 파일 다운로드 취약점 등을 통해 DB가 유출되는 등 심각한 상황이 초래될 수 있다”고 우려했다.


실제 창원에 위치한 대형병원 한 곳의 경우 내부망인 OCS가 웹 서버와의 서비스 연동으로 외부망이 돼 버리는 문제가 발생했으며, 이로 인해 공격자가 웹 서버를 해킹한 후 APT 공격 등으로 OCS에 침투하는 것이 가능하다.


최부근 군은 “OCS와 서비스 연동되는 예약기능을 공략하면 직접적으로 OCS DB에 접근해 SQL 인젝션 공격이 가능하다. 이와 함께 웹서버에서 모든 파일이 다운로드되는 파일 다운로드 취약점을 통해 web.config 파일을 탈취하면 웹서버와 OCS DB의 아이디와 패스워드를 탈취할 수 있다”며, “이를 통해 해커들은 환자상태, 신상기록 등의 민감 정보를 전부 수집해갈 수 있다”고 말했다. 


여기서 한발 더 나아가 OCS가 해킹당하면 APT 공격을 통해 의사들이 사용하는 PC나 스마트기기들에 대한 해킹까지 가능해지면서 병원내 의료정보화 시스템 자체에 엄청난 혼란이 야기될 수 있다는 것이다.


가령 해커가 OCS와 병원내 PC를 장악할 경우 의사가 PC를 통해 진행하는 진단·수술행위 등의 중대한 의료행위를 조작할 수 있고, 보험사기, 진단서 조작 등의 범죄행위에도 악용될 수 있다는 얘기다.  


이러한 취약점의 발생원인과 대책에 대해 양서희 씨는 “OCS가 SQL 인젝션에 노출되어 직접적인 쿼리 공격이 가능한 것이 문제”라며, “adodb.command를 활용해 SQL 쿼리 공격을 차단하거나 파일을 다운로드하는 방식을 다르게 하거나 .asp 등과 같은 구문들을 필터링해야 한다”고 설명했다.


덧붙여 그는 “몇몇 병원들이 예약기능 때문에 OCS 서버와 웹 서버를 연동시키는 경향이 있는데, 이를 별도로 구성해 OCS를 내부망으로 사용해야 한다”며, “예약기능은 의사가 OCS 서버에서 확인하는 게 아니라 홈페이지에서 확인할 수 있도록 하고, 주기적인 보안 컨설팅과 관제 서비스를 통해 보안점검을 받는 것이 좋다”고 강조했다.


이렇듯 예약기능 등을 위해 웹 서버와 연동하는 OCS를 사용하는 병원들은 해킹 공격에 취약하기 때문에 예약기능을 담당하는 서버를 따로 구축하거나 예약기록은 홈페이지에서 저장·열람이 되도록 해야 한다는 것이다.


OCS의 취약점이 발견된 창원의 모 대형병원은 SHABG HUNTERS 연구소로부터 취약점 리포트를 전달받고, 현재 OCS를 재설계하고 있는 것으로 알려졌다. 


한편, 병원내 OCS의 보안취약점을 본지에 알려온 SHABG HUNTERS(세비지 헌터스) 연구소는 최부근(ForbiddenBITS) 군과 양서희(순천향대) 씨가 멤버로 활동하고 있으며 지난 5월 5일 설립됐다. 이 연구소는 여러 가지 보안취약점 발견 및 리포트, 창의적 해킹 메커니즘 연구, 그리고 세계적인 보안 컨퍼런스인 블랙햇 컨퍼런스에서의 공동발표를 목표로 활동하고 있다. 

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>