사전에 위협 요소를 찾아 예방하는 것이 최선

[보안뉴스= 한근희 고려대 정보보호대학원 산학교수] 선진 각국에서 불법으로 환자 의료정보를 암호화시켜 사용할 수 없게 해 놓고 거액을 요구하는 랜섬웨어(Ransomeware) 공격이 급증하고 있다는 보도가 잇따르는 가운데 미국 FDA에서 해킹공격에 대한 취약성으로 약물 주입 폄프가 오동작을 일으킬 경우 인명사고 발생 가능성이 있어 2015년 8월 시급하게 판매금지를 시킨 일이 있었다.


돈벌이가 되는 금융기관을 대상으로 한 해커들의 스미싱, 피싱 등은 물론 고도의 기술력을 가진 전문 해커들의 경우 거액을 자신의 계좌로 이체하는 공격을 시도했다. 금융기관들이 사이버공격의 예방과 방어에 총력을 펼치고 있음에 따라 보다 쉽게 해킹할 수 있는 새로운 먹거리를 찾아서 다른 분야로 눈을 돌리고 있는 상황이다.

최근 외국사례를 살펴보면, 점차 해커들의 사이버공격이 의료기관 쪽으로 눈을 돌리고 있는 것으로 보이며, 이를 증명하듯이 환자 정보를 목표로 한 랜섬웨어 공격이 급증하고 있다.

우리나라 차병원에 투자한 LA 할리우드 장로병원(430병상)이 올해 2월 랜섬웨어 공격으로 일주일 동안 병원 내 모든 정보시스템과 전산망이 마비된 사건이 있었다. 긴급한 환자는 다른 병원으로 이송해서 치료하고 종이 문서로 진료 업무를 처리했으며, CT검사, 실험실 작업, 약제, 입원환자 대상의 네트워크 및 컴퓨터 관련 기능 등을 차단하여 확산을 방지하면서 복구하고자 노력하다, 결국 1주일만에 당초 요구했던 360만 달러(9천 비트코인)를 17,000 달러(40 비트코인)로 낮춰 지불한 후에야 정상 회복할 수 있었다.

해외에서 주로 발생한 의료기관을 대상으로 한 랜섬웨어 공격은 병원 근무자들의 정보보호에 대한 이해 부족과 의료기관 업무 특성상 시간을 끌 수가 없기 때문에 장기전으로 갈수록 불리해 해커가 요구하는 비용을 잘 지불하기 때문이다. 현재까지는 주로 금전적인 목표로 대금을 지불하면 복구 가능했었으나 특정 의료기록이나 민감한 개인기록을 표적삼아 공격할 경우에는 이를 해결할 방도가 전혀 없을 것으로 생각된다.

최근 국내에서는 이와 같이 환자 진료·치료 정보 등과 개인건강·의료정보에 대한 사이버공격 및 해킹으로부터의 위험성을 차단하고자 개인정보보호법을 강화하고 올 6월부터는 매출액 1,500억원 이상, 일일 사용자 수 10,000명 이상 등에 해당하는 의료기관들에 대해서 ISMS 인증 획득이 의무화될 예정이다.

해외에서 불거지고 있는 의료기관을 대상으로 한 각종 사이버 공격 상황을 살펴 보건대, 의료정보 시스템을 효과적으로 보호하고 방어하기 가장 좋은 방안이 병을 얻고 나서 소 잃고 외양간 고치기 식의 사후 치료 방식이 아닌 예방 주사 맞듯이 사전에 위협요소를 찾아서 없애거나 약화시키고 미리 예방하는 것이다.

사전 예방으로 한국인터넷진흥원(KISA) 정보보호관리체계(ISMS: Information Security Management System) 인증이나 국제표준기구(ISO: International Standard Organization) 27001 ISMS – 의료 분야 전문 ISO 27799 인증을 받는 것이다. 추가적으로 의료기관에서 사용하는 정보 시스템을 개발할 당시부터 시큐어코딩 표준 규칙을 준수해서 개발하는 것도 좋은 방안이다.

또한, 약물주입펌프와 같이 의료기기가 잘못 동작될 경우 환자의 생명에 직결될 수 있다. 의료기관에서 사용되는 진단 및 치료에 사용되는 각종 의료기기의 경우, 기기 작동을 위해서 정교한 소프트웨어에 의해서 움직인다. 유명 해킹대회에서 인슐린 펌프에서 사용되는 소프트웨어를 공격해서 오동작되는 시연을 한 적이 있다.

해커가 의도적으로 의료기기 소프트웨어에 악성 코드를 감염시키거나 해킹 등을 통해서 외부에서 오동작을 유발시킬 경우, 환자의 생명에 직접적으로 위협을 가할 수 있게 된다. 따라서 가급적 의료기기에 내장된 소프트웨어의 버그나 취약성을 사전에 찾아서 제거해 기기 소프트웨어의 안전성 및 보안성을 높이는 방안이 가장 좋은 예방법이다.

더불어 앞으로 수없이 사용하게 될 머리(스마트모자, 안경 등)에서부터 발끝(스마트 양말, 신발 등)까지의 웨어러블 개인건강기기부터 다종 다양한 의료기기들에 대한 안전성 및 보안성 확인·검증을 위한 자산관리, 위험관리, 보안관리 등에도 관심을 가져야 한다.

끝으로, 대부분의 보안사고는 주로 사람에 의해서 발생하거나 확대되고 있다. 따라서 무엇보다도 중요한 것은 인력에 대한 정기적·주기적인 보안교육·훈련이라고 할 수 있다.
[글 _ 한근희 고려대학교 정보보호대학원 산학교수(hankeunhee@nate.com)]

필자 소개_ 한근희 고려대학교 정보보호대학원 교수는 서울과학기술대학교 컴퓨터학과를 졸업하고 한양대학교 공학대학원 암호키관리기술 연구로 석사학위를 받았다. 고려대학교 대학원 통합보안관리 시스템의 성능 개선 및 개량 방안 연구로 박사학위를 받고 KIST, SERI에서 근무했다. 이후 행정자치부 및 정부통합전산선테에서 보안정책 기획 및 실행 업무 등을 담당하면서 CC인증, G-ISMS, 시큐어코딩, 보안수준 평가, 정보보호 및 개인정보보호 실태조사 등의 과제를 수행하고 관련 정책·제도·법규 등을 마련했다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)