• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

병원도 위험하지만 의사들이 사용하는 핸드폰도 위험하다 2016.04.06

모바일 사용량 급증...하지만 보안 수준은 여전히 미비
멀웨어 통한 공격보단 암호도 걸지 않은 기기 분실하는 게 더 위험

[보안뉴스 문가용] 의학 분야 종사자들이 사용하는 모바일 기기가 다섯 대 중 한 대 꼴로 심각한 리스크를 안고 있다는 연구 결과가 발표되었다.

최근 보안 전문업체인 스카이큐어(Skycure)가 실시한 조사에 의하면 의학 분야에서의 모바일 기기 사용률이 급속도로 높아지고 있다고 한다. 의사의 99%가 모바일 기기를 보유하고 있으며 심지어 한기 이상을 보유한 사람의 수는 2013년의 28%에서 2015년 74%까지 증가했다.

▲ "이거 핸드폰에 일단 저장했다가 나중에 다시 봐야겠다"


또한 모바일 기기를 환자 정보 공유에 적극 활용하기도 하는데, 46%는 그림 및 사진이 포함된 문자 메시지로, 33%는 왓츠앱으로, 65%는 순수 문자 메시지로 한다고 응답했다. 물론 여기서 말하는 환자 정보 공유는 업무 내에서 허용된 행위를 말하는 것으로, 의사들끼리 환자들 뒷담화를 한다거나 하는 식의 ‘공유’는 아니라고 스카이큐어는 강조한다.

그런데 의료업계 내에서 모바일 사용량이 증가하는 시기와 의료 기관을 겨냥한 사이버 범죄가 증가하고 있는 시기가 하필이면 정확히 겹친다는 것에 주목해야 할 필요가 있다. “의사들 사이에서 모바일 기기 사용량이 증가한다는 게 그리 놀라운 일은 아니죠. 의사들도 보통 소비자들처럼 핸드폰 좋은 거에 관심 갖고, 좋은 앱 있으면 다운받아 써보고 합니다. 다만 의사들의 기기에 담긴 정보가 일반 소비자들의 그것보다 범죄자들의 구미를 더 당긴다는 중요한 차이가 있긴 하지요.” 스카이큐어 측의 설명이다.

즉 의사들이 보유하고 있는 모바일 기기는 업무 특성상 훨씬 값어치가 높은 정보를 보유하고 있을 가능성이 높다는 것인데, 조사결과 최소한의 보안 조치를 취하지 않은 의사들이 대부분인 것으로 나타났다. 의사들이 사용하는 기기의 14%에는 심지어 단 하나의 암호조차 설정되지 않은 것으로 조사됐다. 이에 대해 스카이큐어의 바룬 콜리(Varun Kohli) 부회장은 “환자 정보를 핸드폰에 저장해놓고 암호를 걸지 않는 건, 환자의 신상 정보를 공공장소에 펼쳐놓은 것과 다름없다”며 “이런 식으로 모바일 기기를 관리해온 의사들이라면 암호를 설정하는 것은 물론 멀웨어 검사도 해보아야 할 것”이라고 설명했다.

또한 모바일 기기의 사용량 증가는 앱의 사용량 증가와도 동일한 의미를 가지므로 모든 앱 및 운영체제, 소프트웨어들을 항상 최신 버전으로 유지하는 것도 좋은 보안 습관이다. “단순히 불법 앱을 설치하지 않고 비인가 앱스토어에서 앱을 구매하지 않는 걸 말하는 게 아닙니다. 합법적이고 유명한 앱들에 있는 보안구멍을 통해 들어오는 공격이 더 빈번하고 심각하기 때문에 정상적인 앱을 사용한다고 해도 방심하면 안 됩니다.”

특히 충격적인 건 의료 관련 앱이 설치된 모바일 기기 중 2천 7백 79만 대가 이미 악성 멀웨어에 감염되었을 가능성이 매우 높을 것이라는 부분이다. 그러나 병원 근무자들에게 모바일 기기를 사용하지 말라고 강요할 수도 없는 노릇이다. 스카이큐어는 “이번 조사는 의료업 종사자들이 가진 ‘기기’를 대상으로 한 것으로, 사람에 대한 평가를 하고자 한 건 아니었다”고 강조했다. “게다가 보안 조치가 제대로 되어 있지 않은 모바일 기기를 분실하거나 도난당하는 게 더 현실적인 위험입니다. 최근 랜섬웨어가 극성이긴 하지만 통계상 멀웨어를 통한 공격은 굉장히 드문 편입니다.”

이에 대해 스카이큐어 측은 “모바일 제조사 및 운영체제 배급사들의 보안 인식이 늘어 갈수록 모바일 뚫기가 어려워지고 있기 때문”이라며 “원격에서 모바일 기기로 침투해 들어와 개인식별정보를 노리는 전통적인 PC 환경에서의 사이버 범죄 행위는 점점 사라지고 있는 추세”라고 설명한다.(편집자 주_하지만 ‘점점 사라지고 있는 추세’에 대한 사실 여부는 확인된 바가 없습니다.) “당장은, 향상 되어 가는 보안 기능을 제대로 활용하는 것부터 필요합니다.”

한편 의료 업계를 노리는 범죄행위와 의료 업계 종사자들의 모바일 사용이 함께 증가하고 있다는 사실 때문에 ‘BYOD 근절’을 외치는 건 좋은 해결책이 아니라고 스카이큐어의 콜리는 설명한다. “정말 신경 써서 외쳐야 할 건 ‘가시성’ 확보죠. 병원 네트워크에 달린 모바일 기기가 총 몇 대인지, 그 안에 설치된 앱이 몇 개인지, 어떤 정보가 오가는지 알지도 못하는데 어떻게 공격의 근원지를 파악하겠습니까?”

콜리 부회장은 “의사들의 모바일 기기는 해커들에게 금맥과도 같다는 걸 의료업계에서 기억해주었으면 좋겠다”라고 말하는 한편 “그러나 의학은 격무가 많아 보안에 대해 신경 쓸 겨를이 없는 것도 이해가 간다”라고도 설명했다. “그러니 차근차근 해나갈 필요가 있어 보입니다. 할 수 있는 쉬운 것부터 하는 거죠. 제일 먼저는 기기에 암호를 거는 것부터 시작하는 게 좋아 보입니다. 그리고 분실 및 도난에 각별히 주의하는 거, 이거 둘부터 실천하는 걸 의료업계 종사자들에게 권장합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>